WordPress媒体库允许上传假文件

时间:2018-01-09 作者:baker

我创建了一个包含字符串的文件,并将其重命名为example.jpg. 该文件随后通过WordPress媒体库上传,并实际通过。

如果同一个文件包含像EICAR病毒签名这样的恶意代码,这就不好了。

有没有办法避免这种情况?我在看wp_check_filetype_and_ext 函数,但不确定它是否是解决问题的正确方法。

1 个回复
SO网友:Tom J Nowell

如果文件不是图像,则根据允许的列表检查其mime类型。

因为您的示例将生成一个文本mimetype,并且它是允许的文件扩展名,所以它将通过。除非您的服务器以PHP的形式执行图像文件,否则应该没有任何问题,在这种情况下,这个问题是您最不关心的。

如果你认为这是一个bug,你应该打开一个Trac记录单,这里不是报告WP bug的地方

结束
标签: hooks   security   小码农  

相关推荐

theme functions (hooks)

WordPress已经提出了这个问题,但没有答案。我只是想在这个论坛上试试,如果有人知道的话,因为我也有同样的问题。要使用jquery滑块编辑我的主题,如何转到该脚本?,显示“$主题->挂钩(\'content\\u before\');”在content div标记中。有人能帮忙吗?我的主题索引。php包含以下内容<div id=\"main\"> <?php $theme->hook(\'main_before\'); ?> &#x