Modification mot de passe - WordPress

Demande de devis

SecureMyDataEntreprise de sécurité informatique

Modification mot de passe – WordPress <= 4.7.4 - CVE-2017-8295

Modification mot de passe – WordPress <= 4.7.4 - CVE-2017-8295

0day, Actualités 9 May 2017 By securemydata 0

La vulnérabilité provient de WordPress qui utilise des données non vérifiées lors de la réinitialisation d’un mot de passe.

En modifiant la valeur de HOST dans le header on peut donc potentiellement prendre le contrôle d’un site.

La partie du code faillible est la suivante :

------ [wp-includes / pluggable.php] ------
...

if ( !isset( $from_email ) ) {
        // Get the site domain and get rid of www.
        $sitename = strtolower( $_SERVER['SERVER_NAME'] );
        if ( substr( $sitename, 0, 4 ) == 'www.' ) {
                $sitename = substr( $sitename, 4 );
        }

        $from_email = 'wordpress@' . $sitename;
}

...

You May Also Like

Fin d’une aventure, début d’une autre

20 February 2023

Fin d’une aventure, début d’une autre

30 millions d’euros volés, faille sur l’Ethereum

30 millions d’euros volés, faille sur l’Ethereum

Laisser un commentaire Annuler la réponse