wordpress函数wp_http_validate_url畸形IP绕过验证SSRF漏洞

今天上阿里云ECS看看,却看到了一个Web-CMS漏洞提醒,如题所述,那么该如何修复吗,请接着往下看。

首先打开/wp-includes/http.php,使用你熟系的编辑工具进行修改,找到

1
preg_match(<span class="hljs-string">'#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#'</span>, $host)

修改为

1
preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d|0+\d+)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)

大约在540行-570行左右,也可以使用搜索工具直接搜索,紧接着只要替换就可以了,在回到阿里云ECS平台验证,即可解决该漏洞。

点赞

发表评论