Wordpress物理路径暴露漏洞

wordpress 2.1.2 以及之前的版本
今天看了看wordpress模板的机制,发现存在了漏洞。大家可以认为这个漏洞不要紧。但是配合其他漏洞可以拿下WEB空间。权限允许可以拿下主机。
好久没有写漏洞的文章了,忘记格式了,呵呵,随便写写。
wordpress的模板文件,缺少访问验证,直接访问模板里的文件,就会泄露物理路径。这个不是PHP漏洞,是WordPress的漏洞。
比如访问:http://hostname/wordpress/wp-content/themes/default

就会显示:
Fatal error: Unknown function: get_header() in /home/public_html/yz/wp-content/themes/default/index.php on line 1

解决办法
在模板里的文件头部加上以下代码,可以防止泄露路径。
[coolcode] if(!defined(’WP_USE_THEMES’)) {
exit(’Access Denied’);
}
?>[/coolcode]
转自:SaBlog

当前没有评论!

发表评论

名字(必须)
邮箱(必须),(不会被公布)
网址(推荐)

字体为 粗体 是必填项目,邮箱地址 永远不会 公布。

允许部分 HTML 代码:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
URLs(网站链接)必须完整有效 (比如: http://dupola.com),所有标签都必须完整的关闭。

超出部分系统将会自动分段及换行。

请保证评论内容是与日志或 Blog 内容相关的,灌水、攻击性或不恰当的评论 可能 会被编辑或删除。