Zazwyczaj nie piszę o błędach (i podatnościach) w pojedynczych skryptach, czy też wtyczkach, np. do WordPressa, bo nie dość, że jest tego sporo, to często są to dość niszowe skrypty czy wtyczki i nie ma co przemęczać klawiatury. Jednak czasem robię wyjątki, zwłaszcza w przypadku tak popularnej wtyczki do WordPressa, jaką niewątpliwie jest NextGEN Gallery.
NextGEN Gallery i SQL injection
Wprawdzie sam od dawna nie korzystam z tej wtyczki (kiedyś, w starszych projektach się zdarzało), to ponad milion aktywnych instalacji robi wrażenie (a zapewne jest to dużo, dużo więcej, bo wtyczka tylko z repozytorium WordPress.org została pobrana ponad 16 milionów razy, choć oczywiście nie oznacza to tylu stron z tą wtyczką), a tym samym sprawia, że warto przekazać informację dalej. O popularności tej wtyczki świadczy też fakt, że bardzo często gdy jakaś strona na WordPressie trafia pod moja opiekę (czy to na stałe, czy w jednym, konkretnym celu) to często właśnie wtyczka NextGEN Gallery jest tam wykorzystywana do prezentacji zdjęć.
Opis błędu (podatności) pojawił się – jak to często bywa – na blogu Sucuri, gdzie znajdziecie bardziej szczegółowe informacje. Ja tylko zasygnalizuje, że w pewnych warunkach możliwe jest wykonanie ataku SQL injection na stronie, co może umożliwić dostęp do bazy danych bez uwierzytelnienia.
Regulacja wyświetlacza Tagów
Oczywiście jest już stosowna aktualizacja, więc jeśli ktoś z Was jeszcze nie zaktualizował tej wtyczki, to nie ma co czekać.
Od razu zaznaczę, że nieprzypadkowo podtytuł tego fragmentu dałem prosto z Tłumacza Google, co swoją „pokracznością” (nie ma to jak „kontekstowe” tłumaczenie ;-)) ma wpasować się w informacje o powodzie wypuszczenia nowej wersji wtyczki, jaką autorzy umieścili/podali w katalogu WordPress.org:
V2.1.79 – 02.23.2017
- Changed: Tag display adjustment
Bo o ile mogę zrozumieć niechęć do „siania paniki”, to w tym przypadku zastanawiam się, czy nie jest to jednak zamiatanie sprawy pod dywan.
Stare wersje cały czas w użyciu
Dobrze, że pojawiła się szybka aktualizacja wtyczki, choć jak patrzę na statystyki dotyczące aktywnych wersji, to wygląda to już mniej optymistycznie:
Tylko 67% aktywnych wersji to najnowsza „gałąź” (2.1), a z tego zapewne należy odjąć sporą grupę stron, gdzie nadal występuje wprawdzie wersja 2.1, ale starsza niż „załatana” 2.1.79 – choć to już bardziej problem właścicieli stron, którzy często albo lekceważą aktualizacje, albo w ogóle nie mają pojęcia, że „coś takiego” trzeba robić.
Aż wspomnę o jednej mojej „byłej klientce”, która niedawno postanowiła przejść „na swoje” z obsługą WordPressa, a wiem – co cieszy, że dokonała aktualizacji (wiem, bo podczas tego procesu nie obyło się bez „małej usterki”, a tym samym mojej interwencji „po znajomości” ;-)).
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- To Øl Beer Club kwiecień 2020, czyli świeża dostawa (zapewne) dobrego piwka od To Øl, tym razem w wersji Gold - 1970-01-01
- Vimeo (i YouTube) jako hosting płatnych materiałów wideo, np. dla kursów online, czyli zabezpieczenie dostępu do treści w praktyce - 1970-01-01
- WP-CLI Rename Database Prefix, czyli prosty sposób, by zmienić (na domyślny ;-)) prefiks tabel w bazie danych w WordPressie - 1970-01-01
