Zazwyczaj nie piszę o błędach (i podatnościach) w pojedynczych skryptach, czy też wtyczkach, np. do WordPressa, bo nie dość, że jest tego sporo, to często są to dość niszowe skrypty czy wtyczki i nie ma co przemęczać klawiatury. Jednak czasem robię wyjątki, zwłaszcza w przypadku tak popularnej wtyczki do WordPressa, jaką niewątpliwie jest NextGEN Gallery.

NextGEN Gallery i SQL injection

Wprawdzie sam od dawna nie korzystam z tej wtyczki (kiedyś, w starszych projektach się zdarzało), to ponad milion aktywnych instalacji robi wrażenie (a zapewne jest to dużo, dużo więcej, bo wtyczka tylko z repozytorium WordPress.org została pobrana ponad 16 milionów razy, choć oczywiście nie oznacza to tylu stron z tą wtyczką), a tym samym sprawia, że warto przekazać informację dalej. O popularności tej wtyczki świadczy też fakt, że bardzo często gdy jakaś strona na WordPressie trafia pod moja opiekę (czy to na stałe, czy w jednym, konkretnym celu) to często właśnie wtyczka NextGEN Gallery jest tam wykorzystywana do prezentacji zdjęć.

Opis błędu (podatności) pojawił się – jak to często bywa – na blogu Sucuri, gdzie znajdziecie bardziej szczegółowe informacje. Ja tylko zasygnalizuje, że w pewnych warunkach możliwe jest wykonanie ataku SQL injection na stronie, co może umożliwić dostęp do bazy danych bez uwierzytelnienia.

Regulacja wyświetlacza Tagów

Oczywiście jest już stosowna aktualizacja, więc jeśli ktoś z Was jeszcze nie zaktualizował tej wtyczki, to nie ma co czekać.

Od razu zaznaczę, że nieprzypadkowo podtytuł tego fragmentu dałem prosto z Tłumacza Google, co swoją „pokracznością” (nie ma to jak „kontekstowe” tłumaczenie ;-)) ma wpasować się w informacje o powodzie wypuszczenia nowej wersji wtyczki, jaką autorzy umieścili/podali w katalogu WordPress.org:

V2.1.79 – 02.23.2017

  • Changed: Tag display adjustment

Bo o ile mogę zrozumieć niechęć do „siania paniki”, to w tym przypadku zastanawiam się, czy nie jest to jednak zamiatanie sprawy pod dywan.

Stare wersje cały czas w użyciu

Dobrze, że pojawiła się szybka aktualizacja wtyczki, choć jak patrzę na statystyki dotyczące aktywnych wersji, to wygląda to już mniej optymistycznie:

1.9 – 11,7%
2.0 – 15%
2.1 – 67%
Inna – 6,2%

Tylko 67% aktywnych wersji to najnowsza „gałąź” (2.1), a z tego zapewne należy odjąć sporą grupę stron, gdzie nadal występuje wprawdzie wersja 2.1, ale starsza niż „załatana” 2.1.79 – choć to już bardziej problem właścicieli stron, którzy często albo lekceważą aktualizacje, albo w ogóle nie mają pojęcia, że „coś takiego” trzeba robić.

Aż wspomnę o jednej mojej „byłej klientce”, która niedawno postanowiła przejść „na swoje” z obsługą WordPressa, a wiem – co cieszy, że dokonała aktualizacji (wiem, bo podczas tego procesu nie obyło się bez „małej usterki”, a tym samym mojej interwencji „po znajomości” ;-)).

Zgłoś błąd na stronie

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które - w miarę możliwości - spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. "linki partnerskie", co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte... :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!