Удаленный сброс пароля админа в WordPress

В WordPress найдена уязвимость: злоумышленник может сбросить пароль администратора. Уязвимы все версии wordpress/wordpress-mu <= 2.8.3. Хороший момент в том, что пароль отправится админу на почту 🙂 и никуда больше. Но все равно не приятно.

Уязвимость

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

Вордпресс просто сбросит пароль и выдаст: “Проверьте ваш email для получения письма с новым паролем.”

Защита

// под этими строчками
if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));

// добавьте еще эту проверку:
if ( is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));


Теги: , , , , , , , , ,

Финт ушами или Как вернуть аську

icqСлучилась у меня фигня, каким-то образом поймал вирус или взломали Windows, в общем увели у меня пароли. На двух аськах пароли поменял, однако вирус или злоумышленник(и) успел(и) разослать вирус на контакт-листы. Пароль на третьей аське не менял. И вот, через несколько дней после инцидента, отваливается аська с ошибкой, что номер уже используется. Естественно, что я, дабы не допустить рассылки вирусов по контакт-листу, стал конектиться аськой, в результате чего сервер заблокировал аську. Я зашел на сервер icq.com в надежде сменить пароль, а.. фиг. Нельзя. Раньше можно было, а теперь почему-то нельзя. Что же делать?

Читать остальную часть заметки »


Теги: , , , , , ,