En AyudaWordpress lei por la mañana que existe una vulnerabilidad que afecta a las versiones 2.8.0, 2.8.1, 2.8.2 y luego me di cuenta que también afecta a la versión actual 2.8.3 de Wordpress.

Todos sabemos que para resetear la contraseña de nuestro blog en Wordpress, primero se envia un mail a nuestra bandeja con un enlace que sirve para validar que nosotros mismos hemos pedido el reseteo. Una vez validado, se nos envia la nueva contraseña.
Esta vulnerabilidad permite que cualquier persona pueda resetear la contraseña de cualquier blog sin importar si se haya enviado o no el mail para verificar. Ojo que solo lo resetea y la nueva contraseña se enviará al email del dueño del blog. Osea tan paligroso no es, pero si puede llegar a fastidiar si el atacante restea la contraseña más de una vez.

Si quieres ver si tu blog es vulnerable solo necesitas un navegador web e ingresar lo siguiente, verás como la contraseña se resetea sin confirmación alguna.

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

Para solucionar este problemilla, hasta que Wordpress saque la actualización de seguridad en la versión 2.8.4 deberemos modificar el archvios wp-login.php reemplazando

if ( empty( $key )  )

por

if ( empty( $key ) || is_array( $key ) )

Asi que a modificar el archivo.