NextGEN Gallery til WordPress lukker alvorligt hul

Angribere kan få fat i data fra WordPress-websteder, der anvender pluginnen NextGEN Gallery.

NextGEN Gallery har en sårbarhed af typen SQL-indsætning. Dermed kan en uautoriseret bruger få fat i fortrolige data fra webstedet. Det kan fx være information om brugerkonti.

Hvis man har installeret pluginnen, kan sårbarheden udnyttes i to scenarier:

  • Webstedet anvender et NextGEN Basic TagCloud Gallery.
  • Webstedet tillader brugere at skrive indlæg.

Ifølge sikkerhedsfirmaet Sucuri kan en angriber få fat i passwords beskyttet med en hashfunktion eller hemmelige nøgler.

Fejlen er rettet i version 2.1.79 af NextGEN Gallery.

Over en million websteder anvender pluginnen.

Anbefaling

Opdater til den rettede version.

Links