阿里云主机wordpress漏洞wordpress后台插件更新模块任意目录遍历导致DOS漏洞

漏洞描述:wordpress后台插件更新模块任意目录遍历导致DOS漏洞

文件位置:/wp-admin/includes/ajax-actions.php

修复方案:

在文件的2890行附近的 $plugin = urldecode( $_POST['plugin'] );

后面加上 $plugin = plugin_basename( sanitize_text_field( wp_unslash( $_POST['plugin'] ) ) );