В популярном движке для блогов WordPress (ветка 2.8.x, вплоть до текущей версии) обнаружена неприятная уязвимость, позволяющая любому пользователю сбросить администраторский пароль (проблема заключается в способности PHP проинициализировать массив непосредственно из GET-запроса, что позволяет обойти проверку при сбросе пароля). Описание уязвимости опубликовано, патч готовится к выходу, пока же можно подправить проблемный код и самостоятельно [ http://core.trac.wordpress.org/changeset/11798 ]. Новый пароль генерируется самим движком и высылается по адресу, указанному в настройках аккаунта. Так что захватить блог с помощью этой уязвимости не получится, но при определенной целеустремленности блокировать работу его владельца - вполне.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
