WordPress IP验证不当漏洞解决办法

发布于 2018-09-14  52 次阅读


wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,
导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

解决方法

1、首先将WordPress升级到最新版本,打开/wp-includes/http.php文件,在文件大约549行左右找到:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

替换成

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

本当の声を響かせてよ