Удаленный сброс пароля админа в WordPress
В WordPress найдена уязвимость: злоумышленник может сбросить пароль администратора. Уязвимы все версии wordpress/wordpress-mu <= 2.8.3. Хороший момент в том, что пароль отправится админу на почту 
и никуда больше. Но все равно не приятно.
Уязвимость
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
Вордпресс просто сбросит пароль и выдаст: “Проверьте ваш email для получения письма с новым паролем.”
Защита
// под этими строчками
if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
// добавьте еще эту проверку:
if ( is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
Теги: array, login, password, patch, vulnerability, WordPress, админ, Вордпресс, пароль, уязвимость
Случилась у меня фигня, каким-то образом поймал вирус или взломали Windows, в общем увели у меня пароли. На двух аськах пароли поменял, однако вирус или злоумышленник(и) успел(и) разослать вирус на контакт-листы. Пароль на третьей аське не менял. И вот, через несколько дней после инцидента, отваливается аська с ошибкой, что номер уже используется. Естественно, что я, дабы не допустить рассылки вирусов по контакт-листу, стал конектиться аськой, в результате чего сервер заблокировал аську. Я зашел на сервер icq.com в надежде сменить пароль, а.. фиг. Нельзя. Раньше можно было, а теперь почему-то нельзя. Что же делать?
