彭哥的IDC私房菜

畅游网络,点滴积累,享受交流、分享的快乐

Entries for July, 2018

WordPress IP验证不当漏洞修复

WordPress目前的版本(4.9.6及以前)有WordPress IP验证不当漏洞,主要是由WordPress目录下的wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。 修复方案:找到/wp-includes/http.php这个文件,在文件的533行附近找到: $same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ); 改成:

Leave a Comment

WordPress <= 4.9.6 任意文件删除漏洞

WordPress是如今使用最为广泛的一套内容管理系统。根据 w3tech 统计,全世界大概有30%的网站运行着WordPress程序。 昨日RIPS团队公开了一个Wordpress的任意文件删除漏洞(需要登录),目前该漏洞仍然未修复(2018年06月27日),该漏洞影响 WordPress 最新版 4.9.6. 修复方法: 找到当前主题下的functions.php文件,在最后添加: add_filter( ‘wp_update_attachment_metadata’, ‘rips_unlink_tempfix’ );

Leave a Comment