微慑信息网-VulSee.com一个安装量超过 100 万的流行 WordPress 插件被发现存在严重 SQL 注入漏洞,允许攻击者从网站的数据库窃取密码和密钥等敏感数据。该插件叫 NextGEN Gallery,开发者已经修复了该漏洞,释出了 v2.1.79 版,安装该插件的网站应该尽可能快的更新。网站如果允许用户递交帖子,并且激活了 NextGEN Basic TagCloud Gallery 选项,允许访问者通过标签导航图库,攻击者可以修改 URL 参数,插入 SQL 查询指令,加载恶意链接时插件将会执行指令。该漏洞是因为对 URL 参数不正确的输入处理导致的,这种问题在 WordPress 以及非 WordPress 网站中间非常普遍。
稿源:solidot,有删改,封面来源于网络
from hackernews.cc.thanks for it.
| 本文标题: | 流行 WordPress 插件再现严重 SQL 注入漏洞 |
| 本文链接: (转载请附上本文链接) | https://vulsee.com/archives/vulsee_2017/0301_449.html |