wordpress IP验证不当漏洞与后台插件更新模块任意目录遍历导致DOS漏洞

说明:
阿里云不断发短信提示网站存在漏洞,通过后台云盾想查看详细信息并修复的话还得升级到云盾专业版,我等穷人怎么买得起专业版?无奈直接网上搜索解决。
漏洞:
漏洞一:wordpress IP验证不当漏洞
1.1 描述:wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF
1.2 修复
1.2.1 找到/wp-includes/http.php这个文件,大概在文件465行,修改文件前记得先备份http.php原文件,这是个好习惯:

1.2.2 在文件的 478行左右找到

漏洞二:wordpress后台插件更新模块任意目录遍历导致DOS漏洞
2.1 描述:wordpress后台文件/wp-admin/includes/ajax-actions.php中,对代码插件路径的输入参数plugin未进行正确的规范化转义,导致黑客可传入特殊路径,造成拒绝服务。
2.2 修复
2.2.1 找到/wp-admin/includes/ajax-actions.php。大概在文件2890附近,修改文件前记得先备份ajax-actions.php原文件

最后到阿里云盾控制台重新验证下漏洞

免责声明:本站所发布的一切模板、插件、源码等仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持购买正版,得到更好的正版服务。如有侵权请邮件与我们联系处理。