SQL injection wiecznie żywy: plugin WordPress z 1 000 000+ instalacji

01 marca 2017, 22:25 | W biegu | komentarzy 6
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

W 2017 roku SQL injection wcale nie chce zniknąć. Tym razem firma Sucuri zlokalizowała tego typu podatność (nie wymagającą uwierzytelnienia) w popularnym pluginie do WordPressa –  NextGEN Gallery.

Dla przypomnienia – SQLi umożliwia choćby pełen, nieautoryzowany dostęp do bazy danych (w tym przypadku – bazy podłączonej do WordPressa).

Na deser – zgadnijcie jak wydawca plugina opisał zmiany w spatchowanej wersji? Tak:

Changed: Tag display adjustment

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Maciej

    WordPress to jest rak, ale co twórcy mają z tym zrobić skoro upodobało go sobie pół internetu? Jeszcze gorzej wyglądają właśnie wtyczki od środka… nawet te topowe to jest jakiś koszmar każdego programisty.

    Odpowiedz
    • kcroot

      To co w zamian? Nawet jak powstanie coś nowego to i tak skończy jak dzuma albo WP ;)

      Odpowiedz
      • aaaall

        Alternatyw szukaj na alternativeto lub hotscripts.

        Odpowiedz
    • aaaall

      Ile dziur jest/było na samego, gołego WP?
      Kto wybiera oprogramowanie dla twórców stron?
      WP czy twórca strony?

      Odpowiedz
    • Jak twórcy wolą się zajmować samym wbudowanym edytorem wizualnym (ile razy zmieniasz wygląd/skórkę?) zamiast dodać podstawowe brakujące rzeczy (jak np. subskrypcje komentarzy na e-mail) to co się dziwić. Wtyczki piszą zapaleńcy, sam WP bez wtyczek jest w miarę, ale im więcej funkcji chce się uzupełnić wtyczkami tym gorzej się to potem kończy (gros zapytań i prób włamu stanowią URLe do dziur we wtyczkach właśnie).

      Odpowiedz
    • NGG i qTranslate to rak. Źle napisane, dziurawe, mające gdzieś standardy WP i nieproporcjonalnie popularne…

      Odpowiedz

Odpowiedz