WordPress口令重置用户名枚举漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-12-20
WordPress口令重置用户名枚举漏洞 受影响系统: 
WordPress WordPress 2.6.5 
WordPress WordPress MU 2.7.1 
描述: 
-------------------------------------------------------------------------------- 
BUGTRAQ  ID: 35581 
CVE(CAN) ID: CVE-2009-2335,CVE-2009-2336 

WordPress是一款免费的论坛Blog系统。 

WordPress对于使用已有的用户名和不存在用户名的登录尝试会返回不同的结果,这降低了暴力猜测安全的复杂性;此外在使用口令重置界面请求新口令的时候,对于已有的和不存在的用户名也会返回不同的结果。 

<*来源:Fernando Arnaboldi 
  
  链接:http://marc.info/?l=bugtraq&m=124709299823452&w=2 
*> 

建议: 
-------------------------------------------------------------------------------- 
厂商补丁: 

WordPress 
--------- 
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: 

http://wordpress.org/