关于该漏洞的信息参见这里。SuperHei的blog上面有一个简单的原理分析。

别拿我的blog做实验，我这个已经修改过了。

这个漏洞的危害不怎么大，只是用来做一些恶作剧。目前WordPress还没有新版，各位用WordPress自建blog的同仁们可以考虑自己修改 wordpress 的代码来绕过该问题：

在$(blog_root)下面，找到wp-login.php，打开，找到function reset_password。找到其中这一行：

function reset_password($key) {
global $wpdb;
$key = preg_replace('/[^a-z0-9]/i', '', $key);
if ( empty( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));


将其改成：

if ( ! is_string($key) || empty( $key ) )


即可。

你也许会喜欢：

• 搭建私有的 python 包发布中心 pypi
• 修正VeryCD在启用AdBlock Plus的情况下的版面混乱问题的脚本
• 用google.cn做proxy访问Google的服务
• 2007这一年
• 计算机不存在灵异事件

最近仍然在调试这边的环境，已经将Live Space上面的文章转到了WordPress上面。等到这边环境稳定下来，就正式宣布blog的迁移了。

你也许会喜欢：

• blog迁移通告
• Herb Sutter Gave up Live Space due to Comment Spams
• [转载] 菜园子里的道理
• 搞定了Spam Comments的自动探测和删除
• 考虑一种基于浏览器的Anti-Blog-Spam的方法