VULHUB ™

WordPress是一款免费的论坛Blog系统。 从2.5版本开始Wordpress使用加密保护的cookie认证登录用户。新的cookie形式为： \"wordpress_\".COOKIEHASH = USERNAME . \"|\" . EXPIRY_TIME . \"|\" . MAC MAC是由USERNAME和EXPIRY_TIME所生成的密钥计算得出的。由于USERNAME和EXPIRY_TIME在MAC计算中没有分隔开，因此如果USERNAME和EXPIRY_TIME连接后没有变化的话，攻击者就可以未经改变MAC便修改cookie。 成功利用这个漏洞的攻击者可能以admin开始的用户名创建帐号，然后控制登录这个帐号所返回的cookie，导致获得管理帐号的控制。

WordPress是一款免费的论坛Blog系统。 从2.5版本开始Wordpress使用加密保护的cookie认证登录用户。新的cookie形式为： \"wordpress_\".COOKIEHASH = USERNAME . \"|\" . EXPIRY_TIME . \"|\" . MAC MAC是由USERNAME和EXPIRY_TIME所生成的密钥计算得出的。由于USERNAME和EXPIRY_TIME在MAC计算中没有分隔开，因此如果USERNAME和EXPIRY_TIME连接后没有变化的话，攻击者就可以未经改变MAC便修改cookie。 成功利用这个漏洞的攻击者可能以admin开始的用户名创建帐号，然后控制登录这个帐号所返回的cookie，导致获得管理帐号的控制。