今天登录阿里云控制台,云盾感知给我推送了漏洞通知:
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
如何去解决它呢?我参考了云盾自研解决方案。
进入wp-includes/,找到http.php这个文件,在文件的526行(不同的WordPress版本行数不同,可以搜索下面代码来找出这个位置)附近找到:
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
我对比了一下,我的是已经升级到了最新WordPress版本,该漏洞已经被修复,阿里云盾存在误报情况。
如果不是以上的情况,或者WordPress不是最新版本,以下是解决方案。
要把上面的代码删除,替换下方截图的代码:
同时也需要注意:
对IP的正则判断。
如果存在则说明,已经修复漏洞。
