WordPress 2.8.4 がリリースされました。WordPress 2.8.2 → 2.8.3 に続くセキュリティリリースというわけですが、PHP の変数型のフレキシブルさを逆手にとった脆弱性のようです。実際 2.8.3 でやってみると、簡単にパスワードのリセットができてしまいました。 乗っ取られはしないが、イタズラでパスワードがリセットされる 日本語版公式サイトによると、 特別に作成された URL がリクエストされると、ユーザーがリクエストしたパスワードのリセットを確認するためのセキュリティチェックを攻撃者が回避できる可能性があります。その結果、データベースにキーを持たない最初のアカウント (通常は管理者アカウント) のパスワードがリセットされ、新しいパスワードがそのアカウントのメールアドレスに送られます。 ということで、パスワードが乗っ取られるわけではないですが、ピンポンダッシュ