Wordpress物理路径暴露漏洞

Written by angel on 2007, March 25, 11:34 PM. 技术相关

wordpress 2.1.2 以及之前的版本

今天看了看wordpress模板的机制,发现存在了漏洞。大家可以认为这个漏洞不要紧。但是配合其他漏洞可以拿下WEB空间。权限允许可以拿下主机。

好久没有写漏洞的文章了,忘记格式了,呵呵,随便写写。

wordpress的模板文件,缺少访问验证,直接访问模板里的文件,就会泄露物理路径。这个不是PHP漏洞,是WordPress的漏洞。

比如访问:http://hostname/wordpress/wp-content/themes/default

就会显示:

Fatal error: Unknown function: get_header() in /home/public_html/yz/wp-content/themes/default/index.php on line 1

解决办法

在模板里的文件头部加上以下代码,可以防止泄露路径。

<?php
if(!defined('WP_USE_THEMES')) {
    exit('Access Denied');
}
?>

Tags: wordpress, 漏洞

« 上一篇 | 下一篇 »

相关文章

访客评论

我转到Wordpress那边去
Post by 逍遥老鬼 on 2007-03-26, 11:06 AM #1
yz...
啊啊啊 拿我开刀啦 5555555555
Post by 源子 on 2007-03-26, 3:27 PM #2
我都隐藏一部分啦。。
Post by angel on 2007-03-26, 3:51 PM #3
for win?
for linux?
Post by benben on 2007-03-29, 11:57 AM #4
那不是好危险...
Post by 酷就一个字 on 2007-03-29, 4:06 PM #5
小A提醒的很好,我以前用k2的时候经常会出现。另外,你的trackback好像没反应啊,我TB你此文了的。
Post by dupola on 2007-03-30, 12:16 AM #6
你点开那个1条纪录就看到你ping过来的信息了。
Post by angel on 2007-03-30, 8:41 AM #7
原来这样改就可以了,谢谢咯
Post by runescapemoney on 2007-04-17, 5:05 AM #8
光是物理路径有用么?
Post by powerleveling on 2007-05-04, 7:25 PM #9
哦,看错了
Post by powerleveling on 2007-05-04, 7:26 PM #10
Total:1612Next ›

发表评论

评论内容 (必填):

My E-mail