本文转自:https://www.liuzhishi.com/2931.html

标题: wordpress IP验证不当漏洞

简介:

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当，导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证，进行SSRF。

解决方案：

方案一：使用云盾自研补丁进行一键修复；

方案二：更新该软件到官方最新版本或寻求该软件提供商的帮助。

【注意：该补丁为云盾自研代码修复方案，云盾会根据您当前代码是否符合云盾自研的修复模式进行检测，如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案，可能会导致您虽然已经修复了该漏洞，云盾依然报告存在漏洞，遇到该情况可选择忽略该漏洞提示】

修复方法：

1、在路径：/wp-includes/http.php找到 http.php 文件，用 Notepad++ 或其他编辑软件打开（修改之前记得先备份http.php原文件），大概在533行（不同的WordPress版本可能行数不同，你可以查找关键词进行查找）：

$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );

修改为：

$same_host = ( strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) || ‘localhost’ == strtolower($parsed_url[‘host’]));

2、在 http.php 文件的549行：

if (  === $parts[] ||  === $parts[] ||  === $parts[]

修改为：

if (  === $parts[] ||  === $parts[] ||  === $parts[] ||  === $parts[]

漏洞修复完成

修改完以上内容，然后再到阿里云盾控制台重新验证一下漏洞，就会发现漏洞已经不存在了，本人亲测有效。

阿里云提示WordPress“/wp-includes/http.php输入IP验证不当”的解决办法的更多相关文章

1. 阿里云上部署了zabbix，突然无法收到报警邮件的解决办法

   在阿里云上部署了zabbix,一直能正常接收到zbx发来的报警邮件(报警邮箱是163的),不知是什么原因,突然无法接收到报警邮件了. 但在服务器上手动执行echo "hello"| ...

2. 阿里云服务器 端口开放问题 浏览器钟输入ip 访问服务器

   在这里先用一堆粗口强烈吐槽阿里云服务器控制台,屎一样的界面,简直非人类的操作.想找一个功能简直无从下手. 场景: 今天刚在阿里云买了个服务器,打算愉快的用五分钟将数据库,apache,安装完毕,然后去 ...

3. wordpress | WP Mail SMTP使用QQ邮箱发布失败的解决办法

   在使用contact form 7插件时遇到邮件发送失败的问题,经过检查发现是因为服务器不支持mail()函数,判断是否支持mail()函数可以参考http://www.diyzhan.com/201 ...

4. 阿里云提示Discuz uc.key泄露导致代码注入漏洞uc.php的解决方法

   适用所有用UC整合 阿里云提示漏洞: discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,.......... 漏洞名称:Discuz uc.key泄露导致代 ...

5. 阿里云 云解析使用方法/在阿里云ESC服务器解析域名并绑定服务器IP后上传文件通过域名访问步骤教程

   第一步:登录阿里云官网,获取服务器ECS的指定公网IP地址. 1.输入阿里云官网账号进入首页,如下图: 2.点击进入"管理控制台",如下图: 3.点击"云服务器ECS&q ...

6. arcgis安装msi安装包提示"在未标记为正在运行时,调用了RunScript”解决办法

   安装msi安装包提示"在未标记为正在运行时,调用了RunScript”解决办法   windows/temp目录相关权限不对,右击temp文件夹,选择管理员获取所有权限.

7. dedecms添加文章时提示标题为空，编辑文章时编辑器空白的解决办法

   dedecms添加文章时提示标题为空,编辑文章时编辑器空白的解决办法 dedecms出现这个问题与代码无关,主要是和PHP的版本有关,用的PHP5.4,更换成PHP5.2之后就不会有这个问题了. 问题 ...

8. 运行inetmgr提示“找不到文件”无法打开IIS管理器的解决办法

   运行inetmgr提示“找不到文件”无法打开IIS管理器的解决办法 不知道什么时候开始运行inetmgr就提示找不到文件了,本以为是IIS坏了,这两天发现IIS服务还是可以运行的,只是运行inetmg ...

9. 运行OpenGL红宝书第9版源码时Visual Studio提示“无法启动程序...ALL_BUILD。拒绝访问“的问题的解决办法

   问题描述: OpenGL红宝书第9版源码采用CMake编译后,用相应的Visual Studio(如VS2012)打开“vermilion9.sln”解决方案,并运行时Visual Studio提示“ ...

随机推荐

1. 基于注解的Spring AOP入门、增强Advice实例

   这篇文章简单通过一个例子,介绍几种增强的基本配置,以方便spring框架初学者对aop的代码结构有个清楚的了解认识.首先,spring支持aop编程,支持aspectJ的语法格式来表示切入点,切面,增 ...

2. Html 之菜单导航（二）

   网页菜单 网页菜单是一个网页的重要部分,它提供了用户可以对网站所有页面的导航,也是可能是内容的分类,例如淘宝  衣服 鞋子 水果 电脑 等等之类,也可以是 类似于游戏宣传网页一样子,酷炫的js特效 f ...

3. AngularJS例子 ng-repeat遍历输出 通过js的splice方法删除当前行

   <!doctype html> <html> <head> <meta charset="utf-8"> <title> ...

4. 利用&quot&semi;NOTIFYICONDATA&quot&semi;实现MFC的托盘程序

   本文章为转发百度空间内容,,保存一下,以防以后用到.. 一.自定义信息 在头文件中加入下面这句话: #define WM_SHOWTASK (WM_USER+1) 二.MYDLG.CPP文件中添加_m ...

5. UITableView的刷新

   UITableView的刷新1> 数据刷新的总体步骤* 修改模型数据* 刷新表格(刷新界面) 2> 刷新表格(刷新界面)的方法* 全局刷新(每一行都会重新刷新)- (void)reload ...

6. 微信如何实现自动跳转到用其他浏览器打开指定页面下载APP

   不管是app的下载链接还是普通文件的链接在微信内置浏览器或者QQ内置浏览器都会被屏蔽.这是微信对第三方下载域名实施的拦截政策.被拦截了用户在微信内打开就会提示“已停止访问该网页”. 那么当我们遇到这个 ...

7. 各种梯度下降 bgd sgd mbgd adam

   转载  https://blog.csdn.net/itchosen/article/details/77200322 各种神经网络优化算法:从梯度下降到Adam方法     在调整模型更新权重和偏差 ...

8. Amber learning note A8&colon; Loop Dynamics of the HIV-1 Integrase Core Domain

   1. Prepare Input File $ tleap >source leaprc.protein.ff14SB ----- Source: /home/wangq/Programs/am ...

9. AJAX异步实现简单的瀑布流

   传统瀑布流布局ul-li,需要先设定显示几列,每列是一个li,需要左浮动并指定宽度,li里面的布局也要先布局好,主要是要定宽,高度自动:然后通过ajax异步,从数据库中得到数据,遍历后将数据插入最矮的 ...

10. go&lowbar;gc

    如果想知道当前的内存状态,可以使用: // fmt.Printf("%d\n", runtime.MemStats.Alloc/1024) // 此处代码在 Go 1.5.1下不再 ...