本文转自:https://www.liuzhishi.com/2931.html

标题: wordpress IP验证不当漏洞

简介:

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

解决方案:

方案一:使用云盾自研补丁进行一键修复;
方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。

【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

修复方法:

1、在路径:/wp-includes/http.php找到 http.php 文件,用 Notepad++ 或其他编辑软件打开(修改之前记得先备份http.php原文件),大概在533行(不同的WordPress版本可能行数不同,你可以查找关键词进行查找):

$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );

修改为:

$same_host = ( strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) || ‘localhost’ == strtolower($parsed_url[‘host’]));

2、在 http.php 文件的549行:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

修改为:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

漏洞修复完成

修改完以上内容,然后再到阿里云盾控制台重新验证一下漏洞,就会发现漏洞已经不存在了,本人亲测有效。

转载于:https://www.cnblogs.com/yadongliang/p/10598080.html

阿里云提示WordPress“/wp-includes/http.php输入IP验证不当”的解决办法相关推荐

  1. 开发者论坛一周精粹(第十七期) :【漏洞预警】Windows再被爆SMB服务0day漏洞,阿里云提示您关注并修复...

    第十七期(2017年7月31日-2017年8月6日 ) 在美国拉斯维加斯举行的2017年度DEF CON黑客大会上,安全研究人员公布了Windows系统上的一个长达20年没有发现的漏洞,该漏洞名为&q ...

  2. 阿里云服务器安装WordPress,搭建自己的博客网站

    阿里云服务器安装WordPress,搭建自己的博客网站 很多人都想搭建自己的博客网站,如今要实现自己的博客网站已经很简单了.这几天我就尝试了一下,随便记录下来,方便后人. 一个自己的博客网站至少需要这 ...

  3. 阿里云提示微擎被挂图片木马详解

    阿里云提示: 然后 找到目录文件瞅一眼是个啥,打开还真是个图片. 既然提示是木马,总的分析一下看看,exif_read_data函数读取 EXIF 头信息 看下图片注释头信息: <?php @$ ...

  4. 阿里云提示有两个高危的漏洞修复教程

    今天登陆阿里云控台,发现阿里云提示有两个高危的漏洞,分别是: RHSA-2018:3092: glibc security, bug fix, and enhancement update RHSA- ...

  5. 阿里云服务器地域可用区选择根据测试IP地址就近原则

    阿里云服务器地域节点遍布全球,包括中国香港.中国大陆华北2(北京).华东1(杭州)及华南1(深圳).日本.美国.新加坡等海外国家和地区,服务器教程网来详细说下阿里云服务器地域和可用区测速IP及地域节点 ...

  6. 中标麒麟操作系统,yum安装软件时提示:“已加载插件:langpacks,无须任何处理“的解决办法

    中标麒麟操作系统,yum安装软件时提示:"已加载插件:langpacks,无须任何处理"的解决办法 通常都是由于yum仓库未包含你所要安装的那款软件造成. 解决办法: 输入如下命令 ...

  7. iOS微信分享,提示“未验证应用”的解决办法

    iOS微信分享,提示"未验证应用"的解决办法 nginx配置下面代码 方法1: #iOS微信分享,提示"未验证应用"的解决办法location /apple-a ...

  8. 苹果备忘录分享不了微信提示无法连接服务器,关于微信分享后,提示“未验证应用”的解决办法(iOS)...

    目录 关于微信分享后,提示"未验证应用"的解决办法 1.Universal Link : 1.1 通用链接是iOS9推出的一项新功能,如果你的应用(app)支持通用链接(Unive ...

  9. 关于微信分享后,提示“未验证应用”的解决办法(iOS)

    关于微信分享后,提示"未验证应用"的解决办法 目录 1.Universal Link : 2.配置步骤 3.检测配置 4.注意点 目录 关于微信分享后,提示"未验证应用& ...

最新文章

  1. c#与halcon模板匹配控制EPSON四轴机器人输出旋转角度
  2. android找不到aar包
  3. python def method_给python类动态添加方法(method)
  4. PHP 中get_magic_quotes_gpc()函数说明
  5. 对比Excel,学习Python报表自动化实战
  6. 信息学奥赛C++语言:求和4
  7. 了解 JavaScript (5)– 翻转器(rollover)
  8. Android 系统(72)---Android系统增加字体库及修改系统默认字体
  9. Total internal reflection TIR
  10. position:relative/absolute无法冲破的等级
  11. RGB-D = 普通的RGB三通道彩色图像 + Depth Map
  12. 2022全新彩虹商城知识付费模板源码+修复改良版
  13. MSF的辅助扫描模块(信息搜集)
  14. android 基带版本,扫盲贴:手机基带版本到底是什么???
  15. ES插件es-head下载和安装
  16. window10 下载速度限制问题解决方案
  17. 1-十八烷基-3-三乙氧基丙基硅烷咪唑溴盐离子液体([ODTIm]Br)修饰Fe3O4磁性纳米颗粒
  18. Java OOM问题分析 学习
  19. 实在受不了360流氓浏览器用了10年终于不用了
  20. 重启计算机怎么一键还原系统还原,小编教你电脑怎么一键还原系统

热门文章

  1. 果蝇大脑研究能够改进计算机相似性搜索算法
  2. 一文详解脑科学研究与产业发展方向
  3. 字节跳动、阿里等大厂的真实工作体验如何?5 位程序员的自述
  4. 华为再招 201 万年薪天才少年,任正非:养得起!
  5. “32 位应用已死!”
  6. 微隔离的红蔷薇在湾区创见的舞台绽放
  7. Tomcat在windows中解压war包失败问题
  8. java_oop_接口
  9. 5G空口存疑 革新还是4G演进?
  10. putty秘钥验证登录和xshell秘钥验证登录