signed

QiShunwang

“诚信为本、客户至上”

《WEB开发-WordPress杂记》解决云服务器报wp_http_validate_url函数对输入IP验证漏洞

2021/3/21 10:19:40   来源:

阿里云盾提示:
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF
在这里插入图片描述

修复方法:
1.修改wp-includes/http.php文件中的第553
2.由

preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)

改为

preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d|0+\d+)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)

【注】Wordpress版本不同行号可能不同!



欢迎访问我的网站:

BruceOu的哔哩哔哩
BruceOu的主页
BruceOu的博客
BruceOu的CSDN博客
BruceOu的简书

接收更多精彩文章及资源推送,请订阅我的微信公众号:

在这里插入图片描述