WordPress Core <= 4.7.4 Potential Unauthorized Password Reset (0day)

Aggiornate immediatamente WordPress alla versione 4.7.5 , c’è una pericolosa vulnerabilità che permette di redirezionare la mail di recupero del vostro account su una mail malevola, consentendo quindi il recupero del link per l’impostazione della nuova password.

Sembra che tutte le versioni superiori alla 4.7.4 sono affette.

Qui trovate maggiori informazioni in merito: https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html

Dopo l’aggiornamento sembra che ritorna il bug del Full Path Disclosure che ho scoperto un paio di mesi fa, quindi dovete fixarlo nuovamente a mano: https://www.freenixsecurity.net/it/2017/04/26/wordpress-4-7-4-rss-functions-php-full-path-disclosure-fixed/



Leave a comment