Błąd w wordpressie 2.8.3

13 sierpnia, 2009
Tagi: 2.8.3, exploit, WordPress

W poprzedniej (już) wersji wordpress’a pojawiła się luka umożliwiająca na wygenerowanie nowego hasła pierwszemu użytkownikowi. Wystarczyło tylko linka spreparować:

http://www.domain.com/wp-login.php?action=rp&key[]=

Pisze o tym tylko dlatego, żeby polecić sposób w których zakładam użytkowników na swoich wordpressach. Pierwszy jest admin, bo z instalacji, natomiast pierwsze co robię to zakładam „swojego” admina. W takim układzie moje wordpressy były odporne na ten reset.

Luka nie jest szczególnie groźna, bo jeżeli mieliśmy wprowadzony dobry adres email dla pierwszego użytkownika, to po prostu nowe hasło dostaniemy mailem. Upierdliwe tylko.

feed z komentarzami
trackback

Na razie nie ma żadnych komentarzy.

Nikt jeszcze nie skomentował tego wpisu.

Dodaj komentarz

Należy wpełnić pola oznaczone znakiem gwiazdki "*". Proszę zapoznać się z zasadami komentowania.

Szukaj

ostatnio popularne wpisy

Jak używać w odnośnikach użyć mailto
WordPress na wiele języków
Ostatnia wersja WPML na licencji GPL
WPML stał się komercyjną wtyczką
WordPress: Jak ustawić strony z wpisami?
Wyświetlanie jednej kategorii wpisów na stronie głównej
WordPress 3.3.2
Tworzenie layoutu – krok po kroku
WordPress: blokowanie w robots.txt kilku rzeczy
Testy motywu – skąd treść?

ostatnie komentarze

Tropienie błędów – 7 technik, które ułatwią życie programiście WordPressa | Webfaces blog o WordPress: klasa css dla tagu body
Kasia o Jak zapytać facebook’a o liczbę „lubię to” dla konkretnego adresu?
Marcin o WordPress: klasa css dla tagu body
benek o WordPress: klasa css dla tagu body
Mariusz o Jak zapytać facebook’a o liczbę „lubię to” dla konkretnego adresu?
Marcin o WordPress 3.3.2
Jakub Milczarek o WordPress 3.3.2
jboss o O polskiej wersji WordPressa 3.3
Marcin o Ostatnia wersja WPML na licencji GPL
Marcin o Ostatnia wersja WPML na licencji GPL