阿里云wordpress IP验证不当漏洞解决办法

 

如果你使用的Wordpress在阿里云搭建的网站,那么可能会在阿里云的后台控制面板看到这样的漏洞提示:

  • wordpress IP验证不当漏洞
  • 漏洞类型:Web-CMS漏洞
  • 紧急度:需尽快修复
  • 影响:wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

具体如下图所示:

解决办法

1.使用Winscp连接VPS服务器,用Notepad++打开网站目录下的/wp-includes/http.php文件。

2.在http.php的第533行左右,找到如下代码:

将其修改为:

 

3.此处修改后,连同附近代码效果如下所示:

 

4.在http.php的第549行左右,找到如下代码:

将其修改为:

 

5.此处修改后,连同附近代码效果如下所示:

 

6.以上两处修改完成后,保存文件。然后再进入阿里云的后台控制面板,在该漏洞下点击验证,稍等片刻刷新漏洞页面,可以看到,漏洞已经不见了,操作成功。

 

原创内容,未经允许,请勿转载!https://www.zhihu.in