Luki w popularnej wtyczce do galerii Photo Gallery w WordPressie

Nie będę ukrywać, nie jestem fanką instalowania dodatkowych wtyczek do galerii w WordPressie. Nierzadko powodują one trudności przy migracji strony na inny serwer. Regularnym problemem niektórych dodatków są także niestandardowe formaty, które powodują, że po zmianie wtyczki wszystkie zdjęcia trzeba wgrywać na nowo.
Wtyczka do galerii to także… kolejny plugin w WordPressie (kolejny dodatkowy kod), który może być podatny na infekcje.

W jednej z popularnych wtyczek do galerii – Photo Gallery by 10Web wykryto własnie podatności, przez które strony wykorzystujące ten dodatek mogły zostać zainfekowane.

luka we wtyczce

Luki we wtyczce Photo Gallery by 10Web

Mamy do czynienia z metodą ataku SQL Injection wykorzystującą lukę w zabezpieczeniach wtyczki Photo Gallery by 10Web. Standardowo podatność tego typu pozwala atakującemu na wstrzyknięcie do strony nieautoryzowanego zapytania SQL. Jest to możliwe gdy brakuje właściwego systemu sprawdzenia parametru, który jest przekazywany przez usera. Po wstrzyknięciu kodu do bazy danych atakujący może modyfikować jej zapisy, a także usuwać informacje i przechwycić dane.

Kolejna luka, która została wykryta we wtyczce to podatność na atak XSS – Cross-Site-Scripting. Atak polega na wskrzyknięciu fragmentu (najczęściej kodu JavaScript) do strony tak, by móc go uruchomić w przeglądarce. W odróżnieniu od SQL Injection, którego celem jest część serwerowa strony, atak XSS celuje w wykonanie kodu po stronie klienta, czyli przeglądarki. Atakujący może dzięki temu wykonać dowolne działanie, np. przejąć sesje użytkownika albo przekierować ruch na złośliwe strony.

Masz wtyczkę Photo Gallery by 10Web w swoim WordPressie?

Twórcy wtyczki wyeliminowali już opisane wyżej podatności i w ciągu ostatniej doby pojawiła się nowa wersja wtyczki. Niezwłocznie zaloguj się do swojego WordPressa i podnieś wersję dodatku do 1.5.35 lub nowszej.


Luki we wtyczce do galerii to nie wyjątek. Wcześniej pisaliśmy także o podatnościach w popularnej wtyczce do robienia kopii zapasowych i migracji: Duplicator. Wpadkę zaliczyła także wtyczka WP GDPR Compliance, dzięki której można dostosować swoją stronę WWW do wymagań RODO, a także Yuzo Related Posts – dodatek do polecania kolejnych wpisów.

Wszyscy Klienci LH.pl otrzymali już komunikat o wykrytych podatnościach, a także wskazaliśmy niezbędne do podjęcia kroki. Jeżeli więc szukasz hostingu, który zadba o Twojego WordPressa – wybierz LH.pl i śpij spokojnie.

Tags:, , ,

Dodaj komentarz

avatar
  Subscribe  
Powiadom o
Facebook - LH.pl

Page plugin Facebook nie działa poprawnie. Proszę włączyć śledzenie w ustawieniach przeglądarki.