Zazwyczaj nie piszę o błędach (i podatnościach) w pojedynczych skryptach, czy też wtyczkach, np. do WordPressa, bo nie dość, że jest tego sporo, to często są to dość niszowe skrypty czy wtyczki i nie ma co przemęczać klawiatury. Jednak czasem robię wyjątki, zwłaszcza w przypadku tak popularnej wtyczki do WordPressa, jaką niewątpliwie jest NextGEN Gallery.
NextGEN Gallery i SQL injection
Wprawdzie sam od dawna nie korzystam z tej wtyczki (kiedyś, w starszych projektach się zdarzało), to ponad milion aktywnych instalacji robi wrażenie (a zapewne jest to dużo, dużo więcej, bo wtyczka tylko z repozytorium WordPress.org została pobrana ponad 16 milionów razy, choć oczywiście nie oznacza to tylu stron z tą wtyczką), a tym samym sprawia, że warto przekazać informację dalej. O popularności tej wtyczki świadczy też fakt, że bardzo często gdy jakaś strona na WordPressie trafia pod moja opiekę (czy to na stałe, czy w jednym, konkretnym celu) to często właśnie wtyczka NextGEN Gallery jest tam wykorzystywana do prezentacji zdjęć.
Opis błędu (podatności) pojawił się – jak to często bywa – na blogu Sucuri, gdzie znajdziecie bardziej szczegółowe informacje. Ja tylko zasygnalizuje, że w pewnych warunkach możliwe jest wykonanie ataku SQL injection na stronie, co może umożliwić dostęp do bazy danych bez uwierzytelnienia.
Regulacja wyświetlacza Tagów
Oczywiście jest już stosowna aktualizacja, więc jeśli ktoś z Was jeszcze nie zaktualizował tej wtyczki, to nie ma co czekać.
Od razu zaznaczę, że nieprzypadkowo podtytuł tego fragmentu dałem prosto z Tłumacza Google, co swoją „pokracznością” (nie ma to jak „kontekstowe” tłumaczenie ;-)) ma wpasować się w informacje o powodzie wypuszczenia nowej wersji wtyczki, jaką autorzy umieścili/podali w katalogu WordPress.org:
V2.1.79 – 02.23.2017
- Changed: Tag display adjustment
Bo o ile mogę zrozumieć niechęć do „siania paniki”, to w tym przypadku zastanawiam się, czy nie jest to jednak zamiatanie sprawy pod dywan.
Stare wersje cały czas w użyciu
Dobrze, że pojawiła się szybka aktualizacja wtyczki, choć jak patrzę na statystyki dotyczące aktywnych wersji, to wygląda to już mniej optymistycznie:
Tylko 67% aktywnych wersji to najnowsza „gałąź” (2.1), a z tego zapewne należy odjąć sporą grupę stron, gdzie nadal występuje wprawdzie wersja 2.1, ale starsza niż „załatana” 2.1.79 – choć to już bardziej problem właścicieli stron, którzy często albo lekceważą aktualizacje, albo w ogóle nie mają pojęcia, że „coś takiego” trzeba robić.
Aż wspomnę o jednej mojej „byłej klientce”, która niedawno postanowiła przejść „na swoje” z obsługą WordPressa, a wiem – co cieszy, że dokonała aktualizacji (wiem, bo podczas tego procesu nie obyło się bez „małej usterki”, a tym samym mojej interwencji „po znajomości” ;-)).
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Podziel się