Новая уязвимость во всех версиях Wordpress

Французский программист Лорен Гаффье обнаружил, что с помощью ввода следующего несложного кода (DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=) можно изменить администраторский пароль к любому блогу на основе Wordpress или Wordpress MU. В результате вызова комманды пароль генериться заново, что создаёт проблемы для администратора и создаёт потенциальную возможность перехвата пароля.
Уже вышел релиз 2.8.4, устраняющий эту уязвимость. Так что обновляемся в срочном порядке!
  • +2
  • 12 августа 2009, 12:02
  • Cluster

Комментарии (5)

RSS свернуть / развернуть
+
0
ужас!(
avatar

admin

  • 12 августа 2009, 12:27
+
0
А кто знает как на barcamp.az инфекция попала?:)
avatar

Cluster

  • 12 августа 2009, 12:28
+
+1
обновляемся или меняем в файле wp-login.php в 190 строке
if ( empty( $key ) )
на
if ( empty( $key ) || is_array( $key ) )
отсюда
avatar

Biotin

  • 12 августа 2009, 13:37
+
0
У меня была строка 170.
avatar

Farik

  • 12 августа 2009, 16:31
+
0
Wordpress 2.8.3 ??
avatar

Biotin

  • 12 августа 2009, 17:28

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.