Bien , tal y como lo dice el titulo de la nota , se encontro un bug nuevo en WordPress 2.8 , la teoria dice que para abajo deberia pasar lo mismo ( eje 2.7, 2.6 … etc etc) aunque no lo probe …
Para explotar la vulnerabilidad simplemente se ingresa a una web que tenga un blog WordPress y a partir de un error en el código PHP se puede hacer un bypass de la comprobación de usuario y mail que se realiza para hacer el reset de la pass de administrador…. y luego ves una linda imagen como la siguiente.
Ahora la gente de WordPress ya saco una version parcheada y la podemos bajar de ACA , la version a descargar seria de la 2.8.4 para arriba .
Tambien hay una forma de remediar esto a mano, lo que tenemos q hacer es modificar la linea 190 del archivo wp-login.php en la cual tenemos esto :
if ( empty( $key ) )
y tenemos que reemplazarla por esto
if ( empty( $key ) || is_array( $key ) )
Cosa que tambien soluciona el error mencionado.
Otra cosa MUY importante que podriamos hacer es usar ENIGFORM , una excelente herramienta, diseñara por mi amigo ,Buanzo, la cual permitiria si la tuviesemos integrada a WordPress no tener que preocuparnos por esto 
El disclosure ACA
Mas detalles sobre la vulnerabilidad ACA
INFO DE COMO IMPLEMENTAR ENIGFORM *ACA*
Si te gusto esta nota, podes invitarme una cerveza en agradecimiento. Y algun dia quiza pueda yo invitarte una :D
