作者：Ryan 翻译：wordpress啦

Stefan Esser最近向开发人员警告SQL Column Truncation 的危险性和mt_rand()的弱点。在他的帮助下，我们解决了这些问题，现在发行了WordPress2.6.2版本。如果你的博客允许自由注册，你就需要升级。在WordPress2.6.1以及更早的版本中，允许自由注册，创建的用户名，能够重新设置另一个用户名的密码，随意地创建密码。随意创建的密码并不会向博客黑客透露，因此这个问题本身令人烦恼，而不是安全漏洞。但是这个缺陷与mt_rand()中任意的数字的缺点相结合，可以用来预知随意创建的密码。Stefan Esser不久就会公开完整的袭击的详细信息。袭击很难完成，但是仍然存在，因此我们建议升级到2.6.2。

阅读全文