wordpress WP_Image_Editor_Imagick 指令注入漏洞

wordpress WP_Image_Editor_Imagick 指令注入漏洞
7975680
/usr/share/wordpress/wp-includes/media.php
云盾自研
2016-09-16 08:12:54
该修复方案为临时修复方案,可能存在兼容风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看到被修改的部分。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
这是登录阿里云后提示的漏洞,网上查了一下,根据:http://www.skyfox.org/fix-wordpress-editor-choose-injection.html
在/wp-includes/media.php 下找到:_wp_image_editor_choose函数里以下语句:

改为

然后到控制台中点一下“验证一下”, 之后显示“文件已修改”

 

 

打赏