WordPress随机密码生成不充分漏洞

2008-09-14T00:00:00
ID SSV:4037
Type seebug
Reporter Root
Modified 2008-09-14T00:00:00

Description

BUGTRAQ ID: 31115 CNCAN ID:CNCAN-2008091109

WordPress是一款基于PHP的博客程序。 WordPress在随机密码生成实现上存在设计问题,远程攻击者可以利用漏洞猜测随机生成的密码。 使用不充分的熵用于随机密码生成,可导致攻击者可以轻易的猜测到密码信息。

WordPress 2.6.1 目前没有解决方案提供: <a href=http://wordpress.org/ target=_blank>http://wordpress.org/</a>

                                        
                                            
                                                #!/usr/bin/php
&lt;?php
# ------------------------------------------------------------
# quick'n'dirty wordpress admin-take0ver poc
# by iso^kpsbr in august 2oo8 
#
# works w/ wordpress 2.6.1
#
#         .oO( private -- do not spread! )Oo.
#