WordPress 2.8.3 : Correctif de sécurité en attendant WordPress 2.8.4

Logo WordPressEn apprenant la vulnérabilité de WordPress 2.8.3 ce matin, je m’attendais à une réaction de la part de l’éditeur de la solution de blogs. Plus exactement je pensais voir débarquer une nouvelle version de WordPress mais c’est finalement un patch qui a été partagé sur le Trac.

Pour rappeler rapidement les faits, il est possible de réinitialiser le mot de passe sans avoir la clé normalement requise. Les accès ne pourront donc pas être récupérés mais cela irritera de façon certaine le détenteur du blog.

La vulnérabilité est la suivante pour WordPress 2.8.3 mais aussi pour toutes les versions antérieures.

http://www.domaine.tld/wp-login.php?action=rp&key[]=

Afin de corriger le problème, il suffit de remplacer la ligne 190 du fichier wp-login.php :

if ( empty( $key ) )

Par :

if ( empty( $key ) || is_array( $key ) )

Comme certains d’entre vous auront pu le comprendre, le fait de proposer un tableau audit fichier permet de passer outre le test qui aurait dû vous tenir à l’écart.

Baptiste Simon aka TiChou

Ingénieur développeur web dans le secteur du e-commerce et du tourisme mais avant toute chose passionné par internet et ses intarissables ressources.

Les commentaires sont fermés

Partenaires et blog à la une