WordPress 2.8.x Admin账户密码重置漏洞

2009年8月12日 | 标签: , , ,

昨天就看到了,本来没当一回事,结果半夜收到了系统发的密码重置邮件…..虽然没有让人获得密码,但还是被吓了一跳。马上去删admin帐号…..

下文引自:http://e-spacy.com/blog/wordpress-admin-passort-reset-bug.html

几个小时前在WordPress trac上发布了一个修复WordPress .x漏洞的信息Changeset 11798。此漏洞可以允许任何人通过wp-login.php的登录界面来重置Admin账户的密码。
Changeset-11798-–-WordPress-Trac
具体修改方法如上图,即打开wp-login.php文件,修改第190行,由原来的if ( empty( $key ) ) 改为 if ( empty( $key ) || is_array( $key ))

虽然别人可能不会同时盗取了你用于重置密码的邮箱账户,但风险总是有的,所以希望所有使用WordPress 2.8.x版本的同学及时修改。

发表评论 | Trackback
  1. 二元店
    2009年8月12日17:37
    回复 | 引用 | #1

    我也中招了啊

  2. blinux
    2009年8月13日10:54
    回复 | 引用 | #2

    我是亲自测试了一番~

  3. NickyYe
    2009年8月25日12:53
    回复 | 引用 | #3

    好吧,我用的还是2.6

  4. syx86
    2009年8月26日13:40
    回复 | 引用 | #4

    NickyYe :

    好吧,我用的还是2.6

    ……换吧,2.8还是很不错的

无觅相关文章插件,快速提升流量