WordPress 2.8.3 Remote Admin Password Reset

agosto 11, 2009 Security

Un problema di una certa portata affligge le ultime versioni del nostro affezionato WordPress. Laurent Gaffiè, un ricercatore nel campo della sicurezza, ha scoperto che è possibile sfruttare la funzionalità di reset della password di WordPress per resettare la password dell’utente amministratore senza conferma. A questo indirizzo trovate l’advisory pubblicata sulla mailing list Full Disclosure.

Il problema è meno grave di quanto sembri in quanto una volta resettata la password essa non sarà comunque in possesso dell’attaccante che potrà in ogni caso realizzare un piccolo sistema per effettuare un reset infinito e in tal modo escludere l’account amministratore dal login per un tempo indefinito.

Gli sviluppatori di WordPress hanno già riconosciuto il bug e rilasciato una patch. Di seguito la modifica da effettuare al file wp-login.php per essere sicuri:

Changeset-11798-–-WordPress-Trac

Tags: , ,

Comments (2)

 

  1. WordPress 2.8.3: Remote Admin Reset Password | Badalis scrive:
    11 agosto 2009 alle 13:04

    [...] originale è consultabile a questo indirizzo, mentre a questo indirizzo potete trovare informazioni supplementari e un fix al problema. Condividi questo articolo [...]

  2. Pronto WordPress 2.8.4 per risolvere la falla | Upyou.it The Blog scrive:
    12 agosto 2009 alle 12:06

    [...] risolvere la falla di sicurezza di cui abbiamo parlato ieri qui gli sviluppatori della piattaforma hanno rilasciato WordPress 2.8.4, un pacchetto che contiene [...]

Leave a Reply

Immagine CAPTCHA
*