wordprss WP_Image_Editor_Imagick漏洞临时解决方法
最近应该有不少站长看到安全漏洞ImageMagick的相关报导,如果自己的网站服务器有安装ImageMagick组件,就要检查是否存在漏洞。今天收到阿里云的安全提示,意思是存放在阿里云服务器上的wordpress程序存在WP_Image_Editor_Imagick指令注入漏洞,并准备了补丁提供一键修复,不过要花钱升级安骑士专专业版,实际上并不需要这么做。
WP_Image_Editor_Imagick漏洞本不是wordpress程序本身的漏洞,而是如果自己服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。
漏洞验证方法:若系统中安装使用了ImageMagick,本地执行如下命令
|
1
|
CONVERT
'https://example.com"|ls "-la'
OUT
.
png
|
未执行ls 命令,并报错,说明不受影响,若ls -la 命令成功执行,说明存在漏洞,则需要升级组件。
如果不会升级组件的wordpress用户可以使用临时解决方法,编辑wp-includes/media.php文件,找到
|
1
|
$
implementations
=
apply_filters
(
'wp_image_editors'
,
array
(
'WP_Image_Editor_Imagick'
,
'WP_Image_Editor_GD'
)
)
;
|
修改为
|
1
|
$
implementations
=
apply_filters
(
'wp_image_editors'
,
array
(
'WP_Image_Editor_GD'
,
'WP_Image_Editor_Imagick'
)
)
;
|
实际上就是把2个库的优先级对调。
收 藏
成长的对话版权声明:以上内容作者已申请原创保护,未经允许不得转载,侵权必究!授权事宜、对本内容有异议或投诉,敬请联系网站管理员,我们将尽快回复您,谢谢合作!
