WordPress 2.8.3 Vulnerability

By bernadsatriani | Published: September 6, 2009

Beberapa minggu lalu mendapat informasi melalui twitter milik @milw0rm, bahwa telah ditemukan bug baru pada WordPress 2.8.3 yaitu Remote Admin Reset Password. Bagi yang masih menggunakan WordPress versi 2.8.3 hendaknya mengupdate ke versi terbaru yaitu versi 2.8.4

Bug ini menyerang pada file wp-login.php dengan mengubah nilai aray $key pada file wp-login.php tersebut. Maka otomatis password akan tereset sendiri. Konsepnya serangannya adalah menginput url setelah wp.login.php

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

Untuk mengatasinya, selain mengupdate versi wordpress adalah memodifikasi isi dari file wp-login.php

Edit file wp-login.php, lalu cari script if ( empty( $key ) )

Lalu ubah script tersebut menjadi if ( empty( $key ) || is_array( $key ) )

Cara tersebut dilakukan untuk mencegah attacker mengubah nilai aray $key untuk mereset password.

Share and Enjoy:

This entry was posted in Hacking, News, Wordpress and tagged bug, reset admin, wordpress 2.8.3. Bookmark the permalink. Post a comment or leave a trackback: Trackback URL.

5 Comments

Boringday

Posted September 7, 2009 at 4:14 am | Permalink

Woah ngeri neh kk doyox
4d1tz

Posted September 7, 2009 at 7:37 am | Permalink

sangar….. pinter tenan kowe…… nice inpo gan,halah )
bernadsatriani

Posted September 7, 2009 at 9:03 pm | Permalink

@Boringday
your eyes

@4d1tz
ah aq masih biasa :p
badkiddies

Posted September 10, 2009 at 10:43 am | Permalink

kk hacker…

serem…
bernadsatriani

Posted September 10, 2009 at 5:45 pm | Permalink

@badkiddies
eh eh kq masih pake badkiddies sich

WordPress 2.8.3 Vulnerability

5 Comments

Post a Comment

Categories

Blogroll

Tweet Me