wordpres 在阿里云里提示这个漏洞,
/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF
网上大多数都是说修改550几行的那里,这是错的,要修改540行,替换成下面的。

preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d|0+\d+)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host

标签: none

评论已关闭