 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Vulnerabilidade no WordPressWordPress Password Reset Weakness (SA36237) [CAIS, 14.08.2009-12:06, revisão 01] O CAIS está repassando o alerta da Secunia, intitulado "WordPress Password Reset Weakness (SA36237)", que trata de uma vulnerabilidade no WordPress. WordPress é uma plataforma software livre de publicação de blogs muito popular. A vulnerabilidade está na forma como as versões vulneráveis do software implementam a função de reset de senha, parte do modulo PHP wp-login.php. Esta vulnerabilidade permite que a primeira conta sem uma chave no banco de dados (normalmente a conta do administrador do blog) tenha sua senha redefinida (reset) sem a necessidade de confirmação. O ataque é trivial e pode ser realizado remotamente, com o uso de um simples navegador Web. Não é possível obter controle sobre a conta atacada. Entretanto, a exploração desta vulnerabilidade resulta em um grande inconveniente para o administrador do blog, que perde acesso a sua própria conta. Sistemas Afetados
Correções Disponíveis Recomenda-se a atualização para a versão stable mais recente, WordPress 2.8.4, disponível em: Caso o administrador já tenha sido vítima do ataque e perdeu acesso a sua conta, é possível utilizar um script de emergência (Emergency Password Reset Script), disponível na raiz da instalação Wordress. Mais informações sobre este script e sobre como utilizá-lo na seção "Referências". Referências
Identificador CVE (http://cve.mitre.org): Não disponível |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
