转自 https://wuzhuti.cn/2642.html
今天收到阿里云盾提醒,提示WordPress中存在指令注入漏洞,漏洞信息如下:
漏洞名称:wordpress WP_Image_Editor_Imagick 指令注入漏洞
补丁编号:4546914
补丁文件:/wwwroot/wuzhuti.cn/wp-includes/media.php
补丁来源:云盾自研
更新时间:2016-05-10 11:02:01
漏洞描述:该修复方案为临时修复方案,可能存在兼容性风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看到被修改的部分
用户可以选择阿里云自动修复,当然是需要收费的;作为一名程序员,当然不会花这个钱了。作为一个有情怀的程序员,当然要把修复方法共享出来。
根据漏洞描述,将wordpress的默认图片处理库优先顺序改为GD优先。到wp-includes/media.php文件中找到_wp_image_editor_choose()函数。函数内容如下:
wp-includes/media.php::Line 2898
-
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );
将其修改为:
-
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );
修改完成后,点击阿里云盾验证之后,确定漏洞已经不存在。
