Вышел релиз системы управления контентом WordPress 2.6.2 в котором исправлена серьезная уязвимость, позволяющая злоумышленнику, используя спецсимволы в имени пользователя на этапе регистрации, заменить пароль для другого аккаунта в системе на случайное значение. Уязвимости подвержены релизы WordPress до версии 2.6.1 включительно.

Проблема усугубляется тем, что в коде PHP-интерпретатора обнаружена проблема, позволяющая предугадать значения выдаваемые генератором случайных чисел mt_rand(), что позволяет злоумышленнику подобрать измененный в WordPress пароль. Для защиты можно использовать модифицированный PHP-интрепретатор Suhosin, используемый для повышения безопасности, в последнем релизе которого существенно улучшена работа генератора случайных чисел.