国外的安全团队前几天发现了wordpress的新漏洞,版本低于和包括4.9.6的都有这个问题。
目前wordpress官方最新版本就是4.9.6,所以官方还没有出新版修复这个问题。
如果急的,可以临时修复下。
至于这个漏洞带来的后果就是可以重置你的网站,如果觉得网站重要就临时修复吧,不重要就等等。
毕竟wordpress官方一般处理都算快的了。
临时修复一:
修改/wp-admin/post.php文件:
找到 $newmeta[‘thumb’] = $_POST[‘thumb’];,在下面添加:
$newmeta['thumb'] = basename($newmeta['thumb']);
意思是遇到有人修改图片的时候,先进行一次判断。
临时修复二:
在当前主题的functions.php文件添加以下代码,不过他们也说了这个可能会涉及到兼容问题,所以自行选择临时修复吧。
add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
function rips_unlink_tempfix( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}
return $data;
}
参考:https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/