WordPress口令重置用户名枚举漏洞
来源:岁月联盟
时间:2009-12-20
WordPress WordPress 2.6.5
WordPress WordPress MU 2.7.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 35581
CVE(CAN) ID: CVE-2009-2335,CVE-2009-2336
WordPress是一款免费的论坛Blog系统。
WordPress对于使用已有的用户名和不存在用户名的登录尝试会返回不同的结果,这降低了暴力猜测安全的复杂性;此外在使用口令重置界面请求新口令的时候,对于已有的和不存在的用户名也会返回不同的结果。
<*来源:Fernando Arnaboldi
链接:http://marc.info/?l=bugtraq&m=124709299823452&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
WordPress
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://wordpress.org/
上一篇:帝国CMS留言板漏洞
