阿里云主机wordpress漏洞官方修复方案汇总

漏洞描述：wordpress后台插件更新模块任意目录遍历导致DOS漏洞

文件位置：/wp-admin/includes/ajax-actions.php

修复方案：在文件的2890行附近的

$plugin = urldecode( $_POST[‘plugin’] );

后面加上

$plugin = plugin_basename( sanitize_text_field( wp_unslash( $_POST[‘plugin’] ) ) );

漏洞描述：wordpress IP验证不当漏洞

文件位置：/wp-includes/http.php

修复方案：在文件的465行附近的

$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );

改成

if ( isset( $parsed_home[‘host’] ) ) { $same_host = ( strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) || ‘localhost’ === strtolower( $parsed_url[‘host’] ) ); } else { $same_host = false; } ;

在文件的 478行附件的

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

改成

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]