В WordPress найдена уязвимость: злоумышленник может сбросить пароль администратора. Уязвимы все версии wordpress/wordpress-mu <= 2.8.3. Хороший момент в том, что пароль отправится админу на почту 🙂 и никуда больше. Но все равно не приятно.
Уязвимость
https://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
Вордпресс просто сбросит пароль и выдаст: “Проверьте ваш email для получения письма с новым паролем.”
Защита
// под этими строчками
if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
// добавьте еще эту проверку:
if ( is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));