近期阿里云提示wordpress有注入漏洞
漏洞名称:wordpress WP_Image_Editor_Imagick 指令注入漏洞
补丁编号:4498049
补丁文件:/www/skyfox_org/wp-includes/media.php
补丁来源:云盾自研
更新时间:2016-05-09 20:33:22
漏洞描述:该 修复方案为临时修复方案,可能存在兼容性风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认 图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看 到被修改的部分
解决
因为付费修复比较贵..哈哈哈.....只能自己解决之
根据漏洞描述/wp-includes/media.php找到_wp_image_editor_choose函数,将如下语句
|
1 |
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' , 'WP_Image_Editor_GD' ) ); |
修改为
|
1 |
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD' ,'WP_Image_Editor_Imagick' ) ); |
即将wordpress的默认 图片处理库优先顺序改为GD优先
在阿里云安骑士控制台中 点击漏洞列表中此漏洞后边的"验证一下"
验证后云盾提示 "漏洞文件被修改"即可
