問(wèn)題:
阿里云提示:wordpress /wp-includes/http.php文件中的wp_http_validate_url函數(shù)對(duì)輸入IP驗(yàn)證不當(dāng),導(dǎo)致黑客可構(gòu)造類似于012.10.10.10這樣的畸形IP繞過(guò)驗(yàn)證丧凤,進(jìn)行SSRF乳怎;
image.png
修復(fù)方法:
http.php 540行
preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)
改成
preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d|0+\d+)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)
既增加對(duì)0開頭的012.10.10.10這樣的IP進(jìn)行驗(yàn)證.
