Come ben sappiamo, tener aggiornata la propria piattaforma CMS WordPress o altri che sia è molto importante, cosa ancora più importante è controllare che i plug-in usati siano aggiornati e non soffrano di vulnerabilità, cosa che renderebbe inutili i nostri sforzi verso la sicurezza. Infatti vi è una conferma a quanto detto, visto che è stata rilevata una vulnerabilità SQL-Injection in un componente aggiuntivo disponibile nella piattaforma WordPress, chiamato NextGEN Gallery, che permette l’iniezione di query SQL permettendo l’accesso al database del sito web.
L’attacco avviene, come riportano i laboratori Sucuri, iniettando delle query SQL che possono esser eseguite dal plug-in al caricamento di una URL dannosa.
Per ulteriori informazioni consultare l’articolo postato nel blog dei laboratori Sucuri.
Il componente aggiuntivo, comunque, è stato aggiornato e portato alla versione 2.1.79, non riportando però nel changelog alcun riferimento alla gravità della vulnerabilità corretta e alla necessità degli utenti di aggiornare tempestivamente il componente aggiuntivo.
Nello specifico, se nel nel nostro sito usiamo il componente TagCloud Gallery Basic di NextGEN, dobbiamo aggiornare tempestivamente il componente all’ultima versione rilasciata
Fonte: Blog Sucuri