wpincludes media.php,wordpress WP_Image_Editor_Imagick 指令注入漏洞
陈项禹
补丁编号:6233772
补丁文件:/wp-includes/media.php
该修复方案为临时修复方案,可能存在兼容性风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看到被修改的部分。
在/wp-includes/media.php的_wp_image_editor_choose函数内部找到:
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' , 'WP_Image_Editor_GD' ) );
修改为下面这行:(即调换最后数组的顺序)
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD' ,'WP_Image_Editor_Imagick' ) );
根据漏洞提示找到的,已经验证,状态结果为:“漏洞文件被修改”。
23333 其实我压根没装imagick php 扩展。
类似资料: