Correction de la faille du reset du password dans WordPress 2.8.3
Posté le 12 août,2009 Par admin | Sous Sécurité News | Commentaires (0)
Plusieurs Articles alarmants sur une vulnérabilité dans le moteur du blog wordpress qui permet aux utilisateurs distants de réinitialiser le mot de passe d’administration. Ils viennent tous d’un full disclosure .
L’exploit peut être exécuté par un navigateur en consultant sur un blog WordPress 2.8.3 l’adresse :
http://votredomaine.tld/wp-login.php?action=rp&key[]=
le mot de passe de l administrateur se réinitialise sans demander de confirmation ni l’adresse mail de ce compte. Le correctif officiel vient d’être fourni par l’équipe de WordPress , il faut donc modifier le fichier wp-login.php en remplaçant la ligne :
if ( empty( $key ) )
par
if ( empty( $key ) || is_array( $key ) )
Vous pouvez télécharger directement le fichier wp-login.php corrigé. ou La version WordPress 2.8.4 qui est déjà disponible.
cela ne signifie pas que vous êtes en sécurité de tous les autres exploits qui n’ont pas été rendues publiques.
Article Similaire :- Vulnerabilité Xss 0-day dans wordpress <= 2.8.1
- Faille zero-Day dans le chiffrement web SSL
- Faille critique dans la fonction « Enregistrer sous » du navigateur google Chrome
- Pour celui qui scanne Mon Site de : 41.248.195.15
- Pour celui qui scanne Mon Site de : 208.101.39.51
Chargement ...