Удаленный сброс пароля админа в WordPress
В WordPress найдена уязвимость: злоумышленник может сбросить пароль администратора. Уязвимы все версии wordpress/wordpress-mu <= 2.8.3. Хороший момент в том, что пароль отправится админу на почту 
и никуда больше. Но все равно не приятно.
Уязвимость
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
Вордпресс просто сбросит пароль и выдаст: “Проверьте ваш email для получения письма с новым паролем.”
Защита
// под этими строчками
if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
// добавьте еще эту проверку:
if ( is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
Теги: array, login, password, patch, vulnerability, WordPress, админ, Вордпресс, пароль, уязвимость
