每次登陆阿里云后台总会提示有这个来自/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当这样的警示,之前也没管,不过出于安全的考虑还是修复一下。
手动修复Wordpress中wp_http_validate_url函数漏洞
漏洞描述:
wordpress IP验证不当漏洞: wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
修复方案
(1)使用阿里云云盾安骑士修复,需购买企业版,费用不低,60元/月
(2)手动修复(穷人的选择)
手动修复方法(开始前注意备份文件)
修改/wp-includes/http.php文件(红色为增添的内容)
1)将
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
替换成
$same_host = (strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));
2)将
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
替换成
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
点击“验证”,可验证漏洞修复情况(稍微等一会儿),刷新一下阿里云的后台,发现漏洞警示消失了
本文修复方案来源于网络,但因转载关系复杂,本文未列出引用链接,欢迎原始作者前来认领
