Falla de seguridad en WP 2.8.3

Lo que sucede, es que se trata de una nueva vulnerabilidad de Wordpress que afecta incluso hasta la última versión disponible hasta el día de hoy (la 2.8.3).

Todos pueden resetear una contraseña de cualquier blog en Wordpress, sin necesidad de conocer ni el nombre de usuario, ni el correo electrónico asociado a la cuenta!

Basta que pongan lo siguiente en la barra de direcciones: nombrededominio.com/wp-login.php?action=***key[]=

( edite 3 caracteres por si hay algún malandrin dando vueltas... )

Esto, reseteará el password de las cuentas asociadas en Wordpress, sin pedir ninguna confirmación.

Si bien no es una manera de ganar acceso al blog, este exploit permite que cualquier persona simplemente deshabilite las cuentas de los usuarios en Wordpress,

De momento, incluso la versión 2.8.3 –la más reciente- ya se ve la actualización a 2.8.4 en algunos tableros

Para solucionarlo de manera temporal, tenemos que abrir los archivos de configuración de Wordpress en nuestro servidor, ubicar wp-login.php, dirigirnos a la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )

Grande Data! Leí en Ayudawordpress que supuestamente afecta a los que tienen WordPress MU, es asi? (te pregunto porque creo que vos tenías!).

Subieron un archivo ya modificado para parchear (y creo que con un par de mejoras mas) acá:
http://core.trac.wordpress.org/chang...=zip&new=11798

En realidad el cambio fue éste (entre otros):

Mejor si se actualiza a la última versión.

Documentación de la vulnerabilidad: http://seclists.org/fulldisclosure/2009/Aug/0113.html

Si por supuesto que lo mejor es actualizar a la ultima version... era una solución temporal nada mas...