Hoy he visto el exploit en milw0rm y afecta a WordPress versión 2.8.3 y anteriores. No es que realmente sea algo peligroso para vuestros blogs, pero si muy molesto ya que es posible resetear la contraseña del primer usuario creado en WordPress según hemos podido comprobar.
El problema es que si el ataque se hace de una forma automatizada, te obligaría a estar continuamente mirando el correo para ver la nueva contraseña de dicho usuario lo cual como he comentado antes es muy molesto y siempre hay un peligro potencial en estos casos.
¿la solución? podemos encontrarla según me ha comentado Destroyer vía una información de arturogoga.com y como hemos visto funciona. Simplemente hasta que salga una nueva versión que corrija el bug, hay que cambiar la siguiente línea de código.
Buscar en wp-login.php, la línea 190 y cambiar
if ( empty( $key ) )
Por
if ( empty( $key ) || is_array( $key ) )
Después podéis comprobar que estáis a salvo del bug tipeando lo siguiente en vuestro navegador (que hace que se resetee el pasword)
http://nombrededominio.com/wp-login.php?action=rp&key[]=
****************************************************************
EDITADO:
Disponible Actualización versión 2.8.4
****************************************************************
