WordPress2.8也有同样的密码重置漏洞

有黑客?或是?

刚刚收到一封邮件。很简单几行字,但却让我很惊讶。不知这位兄台是恶意还是善意呢??

邮件标题:[柳城博客]新密码
         内容:用户名:admin
                      新密码:xxxxxxx(一串系统自动生成的密码)

隔了几秒,又重新收到了另一封。内容是一样的,只是密码部分不同。差点晕掉。不知道的话,极有可能是管理员的密码给盗了。

幸好在这之前在Blinux的博官看到了亲身测试WordPress2.83的漏洞(宣传宣传^_^)。幸好这密码只是发到管理员的邮箱。否则,后果不堪设想。所以我赶紧升到了最新版2.8.4。

如果你也是WordPress2.8版还没升级的话,还是赶紧升级的好。这管理员的密码还是挺容易给黑的。想想就可怕。据说是2.8.3(包括)以下的版本都有这个安全漏洞。:(

漏洞描述

正常情况下我们必须知道用户名或者管理的电子邮件才可以重置,重置后你的邮箱将会收到一封重置密码的连接。此漏洞可以滥用密码重置功能,并绕过用户名(电子邮箱地址)验证。任何浏览者都可以利用此链接重置管理员密码WordPress 2.8.3(包括)及以下全线阵亡。

6 回复

评论已关闭。