wordpress 2.1.2 以及之前的版本
今天看了看wordpress模板的机制,发现存在了漏洞。大家可以认为这个漏洞不要紧。但是配合其他漏洞可以拿下WEB空间。权限允许可以拿下主机。
好久没有写漏洞的文章了,忘记格式了,呵呵,随便写写。
wordpress的模板文件,缺少访问验证,直接访问模板里的文件,就会泄露物理路径。这个不是PHP漏洞,是WordPress的漏洞。
比如访问:http://hostname/wordpress/wp-content/themes/default
就会显示:
Fatal error: Unknown function: get_header() in /home/public_html/yz/wp-content/themes/default/index.php on line 1
解决办法
在模板里的文件头部加上以下代码,可以防止泄露路径。
[coolcode] if(!defined(’WP_USE_THEMES’)) {
exit(’Access Denied’);
}
?>[/coolcode]
转自:SaBlog
版权声明
作者:dupola原文标题:Wordpress物理路径暴露漏洞
原文链接:http://dupola.com/post/121
(C) dupola 版权所有,转载时必须以链接形式注明作者和原始出处及本声明。
当前没有评论!
Trackbacks/Pingbacks