wordpress的post.php任意文件删除漏洞临时修复方法
近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的'thumb'路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。临时修复方法如下,在当前主题模板的functions.php添加如下代码:add_filter( 'wp_update_attac……
Wordpress漏洞
Wordpress中http.php文件wp_http_validate_url函数对输入IP验证不当漏洞
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。修复方法:编辑wp-includes目录下的http.php,找到如下代码,大约在第533行:$same_host = strtolower( $parsed_home['host……