2007/06/24

WordPress 的 themes 有 Path Disclosure 漏洞

在查 Path Disclosure 相關資料時,無意間發現有網友指出 WordPress 的 themes 存在著 Path Disclosure 的漏洞,原文請見:
http://cnc.sablog.net/blog/show-243-1.html

該文是 2007.03.25. 發佈的,當時 WordPress 的版本是 2.1.2,
而今我以 2.2 版測試,還是存在同樣的問題,因此先以原文提出的方式修正。
但是將所有 wp-content/themes/default/ 目錄下的所有 php 檔,
都加上原文提供的修正碼之後,編輯文章按下儲存之後,
畫面卻出現 Access Denied 的錯誤訊息!

明顯是剛剛修改的某個檔案有問題,仔細一個一個查,
發現問題是出在 functions.php 這個程式。
因此對於functions.php,在檔案最上方加上以下程式碼修正之:


由於 error_reporting(0) 會抑制錯誤訊息的輸出,
而我又不確定將 error_reporting 關掉是否會對後面的程式造成影響,
因此其餘檔案就照原文提供的方式修正。

1 則留言:

  1. This has really got me to thinking about bunch of possibilities. Thanks for that. :)

    回覆刪除