关于 wordpress WP_Image_Editor_Imagick 指令注入漏洞

本贴最后更新于 2887 天前,其中的信息可能已经时移俗易

说明

近日阿里云的云盾安骑士提醒 wordpress 存在图片处理的安全漏洞。

漏洞描述

漏洞名称:wordpress WP_Image_Editor_Imagick 指令注入漏洞

补丁编号:7813220

补丁文件:/var/www/html/wp-includes/media.php

补丁来源:云盾自研

更新时间:2016-09-18 07:55:13

漏洞描述:该修复方案为临时修复方案,可能存在兼容风险,为了防止 WP_Image_Editor_Imagick 扩展的指令注入风险,将 wordpress 的默认图片处理库优先顺序改为 GD 优先,用户可在/wp-includes/media.php 的_wp_image_editor_choose()函数中看到被修改的部分。

【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

解决方案

根据漏洞描述,去 wordpress 安装目录下/wp-includes/media.php 文件中搜索‘WP_Image_Editor_GD’关键字,并将下面一行代码


$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' , 'WP_Image_Editor_GD' ) );

修改为:


$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD' ,'WP_Image_Editor_Imagick' ) );

将 wordpress 的默认图片处理库优先顺序改为 GD 优先

然后在服务器安全(安骑士)控制台中,点击漏洞列表中此漏洞后边的"验证一下",若状态变为文件已修改,即修复完成。

  • WordPress

    WordPress 是一个使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设自己的博客。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。WordPress 是一个免费的开源项目,在 GNU 通用公共许可证(GPLv2)下授权发布。

    66 引用 • 114 回帖 • 228 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
retozero
若山之巍峨,如兰之优雅。 流风之和煦,似水之淡泊。 北京