Nachdem gestern rausgekommen ist, dass jeder das Passwort einen Users und sogars des Administrators zurücksetzten kann, hat das WordPress Team reagiert und mit WordPress 2.8.4 ein Security Release rausgerbracht.
Yesterday a vulnerability was discovered: a specially crafted URL could be requested that would allow an attacker to bypass a security check to verify a user requested a password reset. As a result, the first account without a key in the database (usually the admin account) would have its password reset and a new password would be emailed to the account owner. This doesn’t allow remote access, but it is very annoying.
We fixed this problem last night and have been testing the fixes and looking for other problems since then. Version 2.8.4 which fixes all known problems is now available for download and is highly recommended for all users of WordPress.
Ich hatte zwar gestern Morgen schon den manuellen Fix eingespielt, aber heute zur Sicherheit die neue Version 2.8.4 nachgezogen :) Selbst wenn eine solche Aktion in meinem Fall nicht viel gebracht hätte, da ich mich per OpenID anmelde und meine Account nicht der einzige Admin Account in diesem Blog ist… Schaden kann es nicht!