Odkrita ranljivost WordPressa


Uporabnike priljubljenega blogerskega orodja WordPress pozivamo da nadgradijo WordPress na različico 2.8.4. Starejše različice vsebujejo ranljivost, ki omogoča resetiranje Admin gesla kar preko brskalnika.

Kako deluje?

Admin geslo lahko resetiramo zgolj tako, da v brskalnik vpišemo:
http://ime_domene.xy/wordpress/wp-login.php?action=rp&key[]=
Geslo se bo resetiralo in poslalo na mail admin uporabnika. Z zlorabo te ranljivosti napadalec vseeno ne more dobiti administratorskega gesla, vendar je lahko zadeva zelo neprijetna, še posebej v primeru da v WordPress vnešeni admin e-mail naslov v resnici ne obstaja.
Ranljivost je odkril Laurent Gaffié, več o tem pa si preberite na njegovem blogu.

  1. #1 by David on 14 avgusta, 2009 - 8:38 dop

    Neugodno…

    Sem že nadgradil.

    D.

Comments are closed.