E’ disponibile per il download la versione 2.6.2 di WordPress. Per scaricarla potete cliccare qui.
E’ stato riscontrato un problema con la funzione mt_rand(). Se la registrazione è aperta al pubblico, nella versione 2.6.1 e precedenti è possibile modificare la password di un altro username, resettandola e facendone generare una random. Ovviamente questa password random non è visualizzabile dall’esterno, quindi pur essendo un attacco, non è possibile considerarlo un buco di sicurezza.
In ogni caso questo attacco, unito allo sfruttamento di una falla della funzione mt_rand() permetterebbe di risalire alla password generata in maniera random. Tutto ciò non è sicuramente facile da realizzare, ma per evitare qualunque tipo di problema presente e futuro, è caldamente consigliato l’upgrade alla versione 2.6.2.
Questo tipo di vulnerabilità può colpire anche altre applicazioni PHP. Ragion per cui è consigliato l’installazione o l’aggiornamento di Suhosin.
