Błąd w wordpressie 2.8.3

13 sierpnia, 2009
Tagi: 2.8.3, exploit, WordPress

W poprzedniej (już) wersji wordpress’a pojawiła się luka umożliwiająca na wygenerowanie nowego hasła pierwszemu użytkownikowi. Wystarczyło tylko linka spreparować:

http://www.domain.com/wp-login.php?action=rp&key[]=

Pisze o tym tylko dlatego, żeby polecić sposób w których zakładam użytkowników na swoich wordpressach. Pierwszy jest admin, bo z instalacji, natomiast pierwsze co robię to zakładam „swojego” admina. W takim układzie moje wordpressy były odporne na ten reset.

Luka nie jest szczególnie groźna, bo jeżeli mieliśmy wprowadzony dobry adres email dla pierwszego użytkownika, to po prostu nowe hasło dostaniemy mailem. Upierdliwe tylko.

feed z komentarzami
trackback

Na razie nie ma żadnych komentarzy.

Nikt jeszcze nie skomentował tego wpisu.

Dodaj komentarz

Należy wpełnić pola oznaczone znakiem gwiazdki "*". Proszę zapoznać się z zasadami komentowania.

Szukaj

ostatnie komentarze

Marcin o WordPress: losowa kolejność postów
Michał o WordPress: losowa kolejność postów
Marcin o WordPress: losowa kolejność postów
Michał o WordPress: losowa kolejność postów
Marcin o WordPress: blokowanie w robots.txt kilku rzeczy
SpeX o WordPress: blokowanie w robots.txt kilku rzeczy
Thanks God it’s Friday | Studio Multimedi@lne ljasinski.pl o WordPress: blokowanie w robots.txt kilku rzeczy
Paweł Nowak o WordPress: blokowanie w robots.txt kilku rzeczy
Leddy o Nie dla ACTA
Marcin o WordPress: Jak skasować starsze niż miesiąc wersje wpisów?

ostatnio popularne wpisy

Jak używać w odnośnikach użyć mailto
WordPress na wiele języków
Tworzenie layoutu ” krok po kroku
Interaktywna mapa Polski ” wtyczka do WordPressa
Ostatnia wersja WPML na licencji GPL
WordPress: Jak ustawić strony z wpisami?
Wyświetlanie jednej kategorii wpisów na stronie głównej
WordPress: jak zmienić tło w co drugim wpisie
WordPress: jak zmodyfikować atrybuty ikony wpisu?
WordPress: blokowanie w robots.txt kilku rzeczy