SÃO PAULO – A versão atual do publicador WordPress, a 2.8.3, apresenta uma falha de segurança que pode bloquear as senhas de administradores.
A vulnerabilidade pode travar os responsáveis pelo sistema, deixando-os sem acesso ao painel de administração. O invasor pode acessar a página de login do blog remotamente utilizando qualquer navegador.
O problema está no processo utilizado para gerar uma nova senha, utilizado caso o administrador ou os usuários tenham esquecido essa informação. No processo normal, a pessoal faz a requisição de um novo password e recebe um link em seu e-mail para confirmar a operação. Ao clicar, o sistema apaga os dados antigos e gera uma nova senha que é enviada em outra mensagem.
Segundo o relatório publicado por Laurent Gaffié, especialista de segurança da VDl2, uma variável colocada na primeira fase do processo pode comprometer o script do arquivo wp-login, evitando que a rotina “reset” envie uma resposta por e-mail. Mas uma rápida correção feita pela equipe de desenvolvedores conseguiu diminuir o risco de roubo de dados. Pelo menos até o próximo release estável do projeto.
Administradores do sistema que perderam acesso aos seus blogs devem carregar a rotina “Emergency Password Reset Script” na raiz de seus servidores. Outras instruções sobre o procedimento podem ser encontradas no Codex do WordPress.
| < Anterior | Próximo > |
|---|
