WordPress 4.8.2 เก็บค่าของ wp_signups.activation_key(Key การเปิดใช้งาน Email เพื่อเข้าใช้งาน Blog) แบบ cleartext ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถแย่งชิงบัญชีผู้ใช้ที่ไม่ได้เปิด activation โดยใช้ประโยชน์จากการเข้าถึงฐานข้อมูล(เช่นการเข้าถึงที่ได้รับผ่านช่องโหว่ SQL injection)

คำแนะนำการแก้ปัญหา

เนื้อหาภายใน https://core.

Yann Cam นักวิจัยด้านความปลอดภัยประเทศฝรั่งเศส พบช่องโหว่ Reflected XSS ในหน้าเข้าสู่ระบบของ Fortinet (login.fortinet.