影响版本:
WordPress 2.6.5/WordPress MU 2.7.1
程序介绍:
WordPress是一款免费的论坛Blog系统。
漏洞分析:
WordPress对于使用已有的用户名和不存在用户名的登录尝试会返回不同的结果, 这降低了暴力猜测攻击的复杂性;此外在使用口令重置界面请求新口令的时候, 对于已有的和不存在的用户名也会返回不同的结果。
解决方案:
厂商补丁:
WordPress
---------
目前厂商还没有提供补丁或者升级程序, 我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://wordpress.org/
……