Kurs "WordPress: Pierwsze kroki" (bezpłatna lekcja)

Zazwyczaj nie piszę o błędach (i podatnościach) w pojedynczych skryptach, czy też wtyczkach, np. do WordPressa, bo nie dość, że jest tego sporo, to często są to dość niszowe skrypty czy wtyczki i nie ma co przemęczać klawiatury. Jednak czasem robię wyjątki, zwłaszcza w przypadku tak popularnej wtyczki do WordPressa, jaką niewątpliwie jest NextGEN Gallery.

NextGEN Gallery i SQL injection

Wprawdzie sam od dawna nie korzystam z tej wtyczki (kiedyś, w starszych projektach się zdarzało), to ponad milion aktywnych instalacji robi wrażenie (a zapewne jest to dużo, dużo więcej, bo wtyczka tylko z repozytorium WordPress.org została pobrana ponad 16 milionów razy, choć oczywiście nie oznacza to tylu stron z tą wtyczką), a tym samym sprawia, że warto przekazać informację dalej. O popularności tej wtyczki świadczy też fakt, że bardzo często gdy jakaś strona na WordPressie trafia pod moja opiekę (czy to na stałe, czy w jednym, konkretnym celu) to często właśnie wtyczka NextGEN Gallery jest tam wykorzystywana do prezentacji zdjęć.

Opis błędu (podatności) pojawił się – jak to często bywa – na blogu Sucuri, gdzie znajdziecie bardziej szczegółowe informacje. Ja tylko zasygnalizuje, że w pewnych warunkach możliwe jest wykonanie ataku SQL injection na stronie, co może umożliwić dostęp do bazy danych bez uwierzytelnienia.

Regulacja wyświetlacza Tagów

Oczywiście jest już stosowna aktualizacja, więc jeśli ktoś z Was jeszcze nie zaktualizował tej wtyczki, to nie ma co czekać.

Od razu zaznaczę, że nieprzypadkowo podtytuł tego fragmentu dałem prosto z Tłumacza Google, co swoją „pokracznością” (nie ma to jak „kontekstowe” tłumaczenie ;-)) ma wpasować się w informacje o powodzie wypuszczenia nowej wersji wtyczki, jaką autorzy umieścili/podali w katalogu WordPress.org:

V2.1.79 – 02.23.2017

  • Changed: Tag display adjustment

Bo o ile mogę zrozumieć niechęć do „siania paniki”, to w tym przypadku zastanawiam się, czy nie jest to jednak zamiatanie sprawy pod dywan.

Stare wersje cały czas w użyciu

Dobrze, że pojawiła się szybka aktualizacja wtyczki, choć jak patrzę na statystyki dotyczące aktywnych wersji, to wygląda to już mniej optymistycznie:

1.9 – 11,7%
2.0 – 15%
2.1 – 67%
Inna – 6,2%

Tylko 67% aktywnych wersji to najnowsza „gałąź” (2.1), a z tego zapewne należy odjąć sporą grupę stron, gdzie nadal występuje wprawdzie wersja 2.1, ale starsza niż „załatana” 2.1.79 – choć to już bardziej problem właścicieli stron, którzy często albo lekceważą aktualizacje, albo w ogóle nie mają pojęcia, że „coś takiego” trzeba robić.

Aż wspomnę o jednej mojej „byłej klientce”, która niedawno postanowiła przejść „na swoje” z obsługą WordPressa, a wiem – co cieszy, że dokonała aktualizacji (wiem, bo podczas tego procesu nie obyło się bez „małej usterki”, a tym samym mojej interwencji „po znajomości” ;-)).

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Tworzysz stronę internetową i potrzebujesz pomocy?
Patryk
Tworzysz stronę internetową i potrzebujesz pomocy?