WordPress密码重置功能存在漏洞可获取网站控制权

正文

请到「今天看啥」查看全文

2、如果管理员设置了邮件自动回复则会将密码重置邮件自动添加到邮件中并发送到攻击者控制的服务器中。

这两种情况均是事先修改了邮件服务器的返回地址进而让密码重置邮件直接寄送到攻击者控制的恶意服务器。

这名安全研究人员已经在十个月前就向WordPress官方提交了漏洞报告，但至今WordPress仍未解决该问题。

因此安全研究人员决定直接公开漏洞的所有细节，希望借此能够敦促WordPress官方早日将这个漏洞修复掉。

漏洞利用情况：

事实上这枚安全漏洞的所述的情况是客观存在的，但在利用和攻击上可以说是相当的麻烦因此降低安全风险。

安全公司Sucuri研究人员认为上述攻击手段仅仅可以在使用单一IP地址的网站并且需要发送大量的垃圾邮件

请到「今天看啥」查看全文