Plugin NextGEN Gallery macht WordPress-Seiten unsicher

Kein CMS hat weltweit mehr Benutzer als WordPress, auf dem auch unser Blog allofus.de basiert. Eine Erweiterung (Plugin) kann jetzt allerdings durch mögliche SQL-Injection Probleme machen:

Die Sicherheitsforscher von Sucuri haben eine Sicherheitslücke im WordPress-Plugin NextGEN Gallery festgestellt. Wenn Angreifer die Schwachstelle ausnutzen, können sie mit SQL-Injection Code ausführen und so zum Beispiel Passwörter und Konfigurationsdaten abgreifen, warnt das Sicherheitsunternehmen. Das soll auch über das Netz und ohne Authentifizierung funktionieren.

Inzwischen haben die Entwickler des Plugins die Lücke in der aktuellen Version 2.1.79 schon geschlossen. Aktuell kann NextGEN Gallery über eine Million aktive Installationen vorweisen.

Wer noch eine verwundbare Version nutzt, ist aber nicht unter allen Umständen sofort gefährdet: Die SQL-Angriffe funktionieren den Sicherheitsforschern zufolge  in diesem Kontext nur, wenn die Funktion Basic TagCloud Gallery zum Einsatz kommt und wenn die Betreiber der Webseite erlauben, dass Benutzer Beiträge verfassen, die man bewerten kann.

Wenn das der Fall ist, können Angreifer zum Beispiel URLs manipulieren und aufgrund einer unzureichenden Überprüfung in gewissem Rahmen auch eigenen Code auf diese gefährdeten Webseiten aufbringen und ausführen.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.