张文保的博客
保哥笔记

技术性SEO实战经验分享博客

张文保微信

wordpress的post.php任意文件删除漏洞临时修复方法

近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的'thumb'路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。

临时修复方法如下,在当前主题模板的functions.php添加如下代码:

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );

function rips_unlink_tempfix( $data ) {
    if( isset($data['thumb']) ) {
        $data['thumb'] = basename($data['thumb']);
    }

    return $data;
}

 

TAG标签
Wordpress漏洞

相关文章
本文标题:《wordpress的post.php任意文件删除漏洞临时修复方法》
本文链接:https://zhangwenbao.com/temporary-repair-method-of-post-php-arbitrary-file-deletion-vulnerability-in-wordpress.html
版权声明:本文原创,转载请注明出处和链接。许可协议:CC BY-NC-SA 4.0
发表新评论