Zazwyczaj nie piszę o błędach (i podatnościach) w pojedynczych skryptach, czy też wtyczkach, np. do WordPressa, bo nie dość, że jest tego sporo, to często są to dość niszowe skrypty czy wtyczki i nie ma co przemęczać klawiatury. Jednak czasem robię wyjątki, zwłaszcza w przypadku tak popularnej wtyczki do WordPressa, jaką niewątpliwie jest NextGEN Gallery.
NextGEN Gallery i SQL injection
Wprawdzie sam od dawna nie korzystam z tej wtyczki (kiedyś, w starszych projektach się zdarzało), to ponad milion aktywnych instalacji robi wrażenie (a zapewne jest to dużo, dużo więcej, bo wtyczka tylko z repozytorium WordPress.org została pobrana ponad 16 milionów razy, choć oczywiście nie oznacza to tylu stron z tą wtyczką), a tym samym sprawia, że warto przekazać informację dalej. O popularności tej wtyczki świadczy też fakt, że bardzo często gdy jakaś strona na WordPressie trafia pod moja opiekę (czy to na stałe, czy w jednym, konkretnym celu) to często właśnie wtyczka NextGEN Gallery jest tam wykorzystywana do prezentacji zdjęć.
Opis błędu (podatności) pojawił się – jak to często bywa – na blogu Sucuri, gdzie znajdziecie bardziej szczegółowe informacje. Ja tylko zasygnalizuje, że w pewnych warunkach możliwe jest wykonanie ataku SQL injection na stronie, co może umożliwić dostęp do bazy danych bez uwierzytelnienia.
Regulacja wyświetlacza Tagów
Oczywiście jest już stosowna aktualizacja, więc jeśli ktoś z Was jeszcze nie zaktualizował tej wtyczki, to nie ma co czekać.
Od razu zaznaczę, że nieprzypadkowo podtytuł tego fragmentu dałem prosto z Tłumacza Google, co swoją „pokracznością” (nie ma to jak „kontekstowe” tłumaczenie ;-)) ma wpasować się w informacje o powodzie wypuszczenia nowej wersji wtyczki, jaką autorzy umieścili/podali w katalogu WordPress.org:
V2.1.79 – 02.23.2017
- Changed: Tag display adjustment
Bo o ile mogę zrozumieć niechęć do „siania paniki”, to w tym przypadku zastanawiam się, czy nie jest to jednak zamiatanie sprawy pod dywan.
Stare wersje cały czas w użyciu
Dobrze, że pojawiła się szybka aktualizacja wtyczki, choć jak patrzę na statystyki dotyczące aktywnych wersji, to wygląda to już mniej optymistycznie:
Tylko 67% aktywnych wersji to najnowsza „gałąź” (2.1), a z tego zapewne należy odjąć sporą grupę stron, gdzie nadal występuje wprawdzie wersja 2.1, ale starsza niż „załatana” 2.1.79 – choć to już bardziej problem właścicieli stron, którzy często albo lekceważą aktualizacje, albo w ogóle nie mają pojęcia, że „coś takiego” trzeba robić.
Aż wspomnę o jednej mojej „byłej klientce”, która niedawno postanowiła przejść „na swoje” z obsługą WordPressa, a wiem – co cieszy, że dokonała aktualizacji (wiem, bo podczas tego procesu nie obyło się bez „małej usterki”, a tym samym mojej interwencji „po znajomości” ;-)).
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Patryk
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
Ostatnie artykuły: Patryk (zobacz wszystkie)
- User Switching w WordPressie, czyli prosta i szybka zmiana zalogowanego użytkownika (np. podczas testów uprawnień) - 1970-01-01
- Serwer pocztowy MailCow: dockerized i komunikat „checking internet connection… failed” podczas próby aktualizacji - 1970-01-01
- Nowe licencje w serwisie Creative Market – nie do końca rozumiem zamysł, ale zapewne jakieś analizy były i sens potwierdziły - 1970-01-01
W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
