Crítica Vulnerabilidad Plugin NextGEN Gallery con Inyección SQL

Crítica Vulnerabilidad Plugin NextGEN Gallery con Inyección SQL

NextGEN Gallery es uno de los plugins más utilizados en WordPress, con más de 16 millones de descargas, que te permite crear galerías completas de fotos con un sistema que te permite subir, imortar, borrar añadir imánages y más características. Se ha descubierto una vulnerabilidad en plugin NextGEN Gallery de inyección SQL.

Vulnerabilidad Plugin NextGEN Gallery

Uno de los mienbros de auditoría de seguridad en los proyectos de código abierto llamado Slavco Mihajloski de Sucuri ha descubierto una vulnerabilidad crítica en el famoso plugin NextGEN Gallery que permite al atacante ejecutar inyecciones SQL en la base de datos.

Esta vulnerabilidad es tan seria que se calificó de un 9/10 en el grado de gravedad, y que puede causar daños serios en tu sitio web, si usas el NextGEN Gallery. Si tienes instalado este plugin en tu WordPress, y cumples con uno de estos casos, entonces debes actualizar el plugin lo más urgente posible.

  • Si usas NextGEN Basic TagCloud Gallery en tu sitio
  • Si permites a colaboradores enviar entradas para ser revisadas

Si tu sitio web reúne una de estás condiciones, pues tu sitio seguramente estará conrriendo el riesgo de ser inyectado con SQL. Afortunadamente la solución a la vulnerabilidad del plugin NextGEN Gallery está disponible.

Si aún estás usando versión de NextGEN Gallery 2.1.77 o anteriores, te recomendamos encarecidamente actualizar a la última versión 2.1.79 que está disponible en el repositorio oficial de WordPress.

¿Cómo Afecta la Vulnerabilidad Plugin NextGEN Gallery?

Plugn NextGEN Gallery para crear galerías de fotos en WordPress

This issue existed because NextGEN Gallery allowed improperly sanitized user input in a WordPress prepared SQL query, which is basically the same as adding user input inside a raw SQL query. Using this attack vector, an attacker could leak hashed passwords and WordPress secret keys, in certain configurations.

Este problema existe porque NextGEN Gallery permite insertar datos esterilizados incorrectamente en una consulta preparada de WordPress, lo cual es básicamente igual a añadir datos en una consulta SQL sin procesar. Usando vector de ataque, un atacante podría obtener password en hash y claves secretas de WordPress, en ciertas configuraciones.

Lo que nos llamó la atención es que una información tan importante como es la vulnerabilidad del plugin NextGEN Gallery no está mencionada en el Changelog, y cuando se le preguntó al fundador y CEO de imagely, la compañía detrás de este plugin. dijo:

Sólo queríamos actualizar antes de llamar la atención. Actualizaremos el Changelog en una versión posterior.

Para estar a salvo de esta vulnerabilidad, sólo ve a la página de administración de tu sitio web, y en la sección de Plugins ::  Plugins instalados, te diriges donde está el NextGEN Gallery y das clic en Actualizar. Hay otra forma de cómo actualizar plugin en WordPress manualmente.

Si decides instalar el plugin por primer vez no es un problema, puedes descargar e instalar este plugin de forma normal desde el repositorio oficial de plugins en WordPress.

DEJAR COMENTARIO

Favor escribir tu comentario!
Favor ingresar tu nombre aquí