Очередная дыра в плагине WordPress

В популярном плагине NextGEN Gallery предназначенном для создания фотогалереи обнаружена уязвимость, которая позволяет не только получить доступ к базе данных, но и завладеть данными пользователей.

NextGEN Gallery довольно популярный плагин для Вордпресс, согласно статистике, он был скачан более 16 миллионов раз, а активных инсталляций насчитывается около 1 миллиона.  Уязвимость в этом плагине нашли исследователи из Sucuri, дыра позволяет преступникам сделать SQL-инъекцию и завладеть не только базой данных, но и данными пользователей, а так же секретными ключами самой CMS.

По мнению исследователей, этот баг относится к высшей степени опасности, о найденной уязвимости сразу  было сообщено разработчикам, которые в кротчайшие сроки закрыли эту уязвимость.

Если вы на своем сайте используете плагин NextGEN Gallery, рекомендуем, как можно быстрее обновить его до актуальной версии.

Проблема с плагинами для одной из самых популярных CMS давно тревожит специалистов информационной безопасности. В отчете германской компании RIPS, который был опубликован в декабре 2016 года сказано, что процент уязвимых плагинов к WordPress достаточно велик.

Специалисты из RIPS исследовали более десяти тысяч плагинов  по 500 строк кода и обнаружили, что в 43% есть хотя бы одна уязвимость, а вот плагины в 1 000 строк уязвимостей практически не имеют.

Совсем недавно, была обнаружена критическая уязвимость и в самой WordPress, которая дает возможность преступникам без аутентификации  менять контент сайта. Уязвимость была закрыта  в версии CMS 4.7.2, несмотря на это преступники быстро воспользовались этой дырой, подробнее об этом мы рассказывали в этой статье.