Şu anda 2.8.3 versiyonunda bulunan blogging servisi WordPress’te dün şifre sıfırlama (reset) açığı olduğu ortaya çıktı. Sorunu Laurent Gaffié şu sözlerle yayınladı :
An attacker could exploit this vulnerability to compromise the admin
account of any wordpress/wordpress-mu <= 2.8.3 (Bir saldırgan bu açığı kullanarak, 2.8.3 ve altındaki versiyonlardaki herhangi bir wordpress hesabını ele geçirebilir)
Buna göre, geçerli mail adresi olmadan admin şifresi sıfırlanabiliyor. Bu konuda önerilen önlemlerden birisi /wp-admin/* klasörünün şifre korumalı ya da IP adresi ile kilitli olması.
ancak WordPress de sorunu çözdüğünü açıkladı. WordPress açıklaması şu şekilde :
Dün bir açık bulundu : özel bir URL kullanılarak, saldırganın password sıfırlanması işleminde güvenlik kontrolünü atlamasına müsade ediliyor.
Sonuçta veritabanında ilk hesap (genellikle admin hesabı) şifresini sıfırlayabiliyor ve yeni email de kullanıcıya emailleniyor. Gerçi dışarıdan erişimi mümkün değil ama yine de can sıkıcı.
Bu problemi We fixed this problem last night and have been testing the fixes and looking for other problemsdün gece çözümledik. Versiyon 2.8.4 bilinen tüm sorunları çözüyor. Tüm kullanıcılarımızın yüklemesini öneriyoruz.