关于 wordpress WP_Image_Editor_Imagick 指令注入漏洞

本贴最后更新于 1374 天前,其中的信息可能已经时移俗易

说明

近日阿里云的云盾安骑士提醒 wordpress 存在图片处理的安全漏洞。

漏洞描述

漏洞名称:wordpress WP_Image_Editor_Imagick 指令注入漏洞

补丁编号:7813220

补丁文件:/var/www/html/wp-includes/media.php

补丁来源:云盾自研

更新时间:2016-09-18 07:55:13

漏洞描述:该修复方案为临时修复方案,可能存在兼容风险,为了防止 WP_Image_Editor_Imagick 扩展的指令注入风险,将 wordpress 的默认图片处理库优先顺序改为 GD 优先,用户可在/wp-includes/media.php 的_wp_image_editor_choose()函数中看到被修改的部分。

【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

解决方案

根据漏洞描述,去 wordpress 安装目录下/wp-includes/media.php 文件中搜索‘WP_Image_Editor_GD’关键字,并将下面一行代码


$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' , 'WP_Image_Editor_GD' ) );

修改为:


$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD' ,'WP_Image_Editor_Imagick' ) );

将 wordpress 的默认图片处理库优先顺序改为 GD 优先

然后在服务器安全(安骑士)控制台中,点击漏洞列表中此漏洞后边的"验证一下",若状态变为文件已修改,即修复完成。

  • WordPress

    WordPress 是一个使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设自己的博客。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。WordPress 是一个免费的开源项目,在 GNU 通用公共许可证(GPLv2)下授权发布。

    44 引用 • 112 回帖 • 508 关注

赞助商 我要投放

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • someone

    [em01]测试邮件回复,哈哈!

  • someone

    [em09]怎么没有收到回复???

    1 回复
  • someone

    [em02][em02]

  • ZephyrJung

    回复什么

  • someone

    [em09]测试邮件回复。。。

  • someone

    [em01]在 Solo 中如果正确进行了配置,将会在有文章评论时发送邮件

请输入回帖内容 ...