WordPress 2.8.x Admin账户密码重置漏洞 at E-space

WordPress 2.8.x Admin账户密码重置漏洞

几个小时前在WordPress trac上发布了一个修复WordPress 2.8.x漏洞的信息Changeset 11798。此漏洞可以允许任何人通过wp-login.php的登录界面来重置Admin账户的密码。

具体修改方法如上图，即打开wp-login.php文件，修改第190行，由原来的if ( empty( $key ) ) 改为 if ( empty( $key ) || is_array( $key ))

虽然别人可能不会同时盗取了你用于重置密码的邮箱账户，但风险总是有的，所以希望所有使用WordPress 2.8.x版本的同学及时修改。

2009.08.11 09:37, WDragon said:

唔，风险不是很大，不过修改了再说

[Reply]
2009.08.11 09:50, 纯净水 said:

谢谢提醒，已修改。

[Reply]
2009.08.11 13:37, 小明猪 said:

感谢提醒～

[Reply]
2009.08.11 14:26, yskin said:

挺好玩的，可以把账户密码重置，把管理员锁在系统外面。

[Reply]
2009.08.11 16:43, 探客 said:

第一段把我吓了一跳。
囧rz
看了后面才明白~~

[Reply]
2009.08.12 01:16, tank said:

主啊，你裁图使用的是什么编辑器？

[Reply]
2009.08.12 01:58, Epile said:

那个是core.trac.wordpress.org上面的代码显示~

[Reply]
2009.08.12 04:16, wordpress2.8.4版本修复的管理员账号密码重置漏洞手动更改方法 | Wordpress Tea House said:

[...] 原文链接：http://e-spacy.com/blog/wordpress-admin-passort-reset-bug.html [...]

[Reply]
2009.08.21 02:44, 孕妇感冒 said:

原来是这样

[Reply]
2009.08.22 11:41, SunshineG said:

恩，最近WP升级频率太高~.3、.4都是安全漏洞升级，在自己拿自己的博客恶搞了吧以后，只好乖乖的升级了….

[Reply]
2009.08.22 13:01, 大剑 said:

升级到我郁闷

[Reply]
2009.08.29 07:24, 牙齿美白 said:

我是每天看贴无数

[Reply]
2009.09.07 04:48, 牙齿美白 said:

楼主是个好人

[Reply]
2009.09.21 07:29, 乙肝病毒携带者 said:

还是Wordpress强大

[Reply]
2009.09.21 16:24, xfeen said:

没什么可怕的。

[Reply]
2009.09.27 11:15, hhalloyy said:

测试评论

[Reply]
2009.10.03 07:25, Mr.ing said:

谢谢提请，马上去修改！

[Reply]
2009.11.01 03:10, 健康减肥方法 said:

看完了，不错

[Reply]
2009.11.02 10:21, MFIII said:

刚刚请人改了一下，谢谢楼主。

[Reply]
2009.11.03 09:58, 阿修 said:

哇，这么夸张……

[Reply]
2009.11.08 02:08, 99sousuo said:

好文章

[Reply]
2009.12.10 19:50, 大连天健网 said:

wp 的升级速度真是可以

[Reply]

WordPress 2.8.x Admin账户密码重置漏洞

相关日志

随机日志