Blogueiros que usam o WordPress já devem estar acostumados com a constante atualização da ferramenta. Seja para adicionar alguma nova funcionalidade ou apenas para deixar o CMS mais rápido, os desenvolvedores da Automattic estão sempre trabalhando. É provável que na tarde de ontem alguns desses programadores precisaram fazer hora extra.

Normalmente, para que a senha seja resetada, é necessário inserir o email registrado no perfil de algum administrador ou o login usado por ele. No entanto, foi descoberta ontem no código da versão 2.8.3 do WordPress uma falha permite que qualquer pessoa troque a senha, mesmo sem saber o email ou login de administradores do blog. A ação pode ser realizada a partir de qualquer navegador web, através da manipulação da URL do site atacado.

Mobilon, CEO do Tecnoblog: 5 tentativas de reset de senha.

O CEO desse Tecnoblog, Thiago Mobilon, foi um dos que sofreram esse ataque. Foram feitas 5 tentativas de reset na senha de administrador, todas frustradas porque a senha era enviada para o email cadastrado. Obviamente, esse ataque não é muito útil, servindo apenas para perturbar donos de instalações desatualizadas do sistema. A menos que o email do administrador não esteja mais ativo.

A versão 2.8.4 foi liberada por volta de 5 horas após a revelação do bug e está disponível para download no site ou através da atualização automática no dashboard do WordPress. [Slashdot]