百万用户使用的插件 WordPress NextGEN Gallery出现SQL注入漏洞 站长们赶紧自查
这次来了一个批量漏洞包啊,20个WordPress插件出现重要漏洞(见下方的表格),其中WordPress NextGEN Gallery插件更是拥有过百万的装机量,波及面较大。
各位站长们需要有两个动作,1赶紧看看自己是否使用了这些插件,2赶紧看看使用的补丁是否有升级版本。绿盟科技就此问题发布了安全威胁通告。
NextGEN Gallery是做什么的nextgen-gallery相册插件是众所周知的wordpress相册插件,这款插件非常强大,几乎可以说是最好的一款图片插件。可以在博客中任意插入动态图片效果,提供了很完美的照片管理方法,操作也并不复杂。在WordPress平台上拥有过百万的安装量。
通告全文如下
近日,WordPress的多个插件曝出漏洞,漏洞类型包括跨站脚本,SQL注入等。其中NextGEN Gallery插件的SQL注入影响上百万用户,允许未经身份认证的攻击者获取数据库中包括用户信息在内的敏感数据,NextGEN Gallary插件已经发布修复补丁。
Google Analytics Dashboard WordPress
当目标访问恶意页面时,窃取用户Session Token, 或以合法用户身份执行某些行为等。
2.1.1
无可用修复
当目标访问恶意页面时,窃取用户Session Token, 或以合法用户身份执行某些行为等。
2.4.5.2
无可用修复
https://sumofpwn.nl/advisory/2016/cross_site_scripting_in_magic_fields_1_wordpress_plugin.html
https://blog.sucuri.net/2017/02/sql-injection-vulnerability-nextgen-gallery-wordpress.html
https://sumofpwn.nl/advisory/2016/cross_site_request_forgery_in_file_manager_wordpress_plugin.html
如果用户所使用的受影响插件已发布修复补丁,则建议用户尽快升级;若尚未发布补丁,则建议用户暂时禁用相关插件。
绿盟科技声明本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
本文由:绿盟科技发布,版权归属于原作者 原文链接:http://toutiao.secjia.com/nextgen-gallery-sql-injection-vulnerability 本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
十四、.net core(.NET 6)搭建ElasticSearch(ES)系列之给ElasticSearch添加SQL插件和浏览器插件 给ES添加SQL插件的方法:下载SQL插件地址:https://github.com/NLPchina/elasticsearch-sql当前最新的是7.12版本,我的ES是7.13版本,暂且将就用一下,也许能用呢?
网站漏洞检测 wordpress sql注入漏洞代码审计与修复 wordpress系统本身代码,很少出现sql注入漏洞,反倒是第三方的插件出现太多太多的漏洞,我们SINE安全发现,仅仅2019年9月份就出现8个插件漏洞,因为第三方开发的插件,技术都参差不齐,对安全方面也不是太懂导致写代码过程中没有对sql注入,以及xss跨站进行前端安全过滤,才导致发生sql注入漏洞。
第十二届 BigData NoSQL Meetup — 基于hbase的New sql落地实践 立即下载
相关文章
- 常见的安全测试漏洞
- kali 漏洞篇-SQL注入 学习笔记
- 算机网络安全基础知识5:sql注入漏洞攻击,DVWA演示sql注入漏洞,如何利用sql注入查看数据库信息,sqlmap,sql注入漏洞的防御
- 渗透测试-xml注入以及xxe漏洞
- JAXB- XML外部实体注入安全代码漏洞(XXE)
- Vue.js 客户端模板注入漏洞
- dirty pipe漏洞,解决办法
- CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)
- 漏洞复现----48、Airflow dag中的命令注入(CVE-2020-11978)
- 思维导图----3、SQL注入漏洞
- 漏洞复现----26、Zabbix latest.php SQL注入漏洞(CVE-2016-10134)
- 漏洞复现----17、Adobe ColdFusion目录遍历漏洞 (CVE-2010-2861)
- WebSphere Application Server XML外部实体注入漏洞通告
- 【漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)
- 《WEB安全漏洞100讲》(第1讲)SQL注入漏洞
- 【Web漏洞探索】命令注入漏洞
- 【Web漏洞探索】SQL注入漏洞
- 【Web漏洞探索】外部实体注入漏洞
- 网络安全——SQL注入漏洞
- 使用开源的 Kubernetes 漏洞扫描和测试
- SQLmap检测sql注入漏洞
- 若依管理系统后台sql注入漏洞分析
- 【POC】CVE-2022–21661 WordPress核心框架WP_Query SQL注入漏洞-POC
- 【漏洞复现】CVE-2022–21661 WordPress核心框架WP_Query SQL注入漏洞原理分析与复现
- 那些年wooyun忽略的漏洞们
- 开发者论坛一周精粹(第九期):Joomla!3.7.0 Core SQL注入漏洞
- (CVE-2020-11978)Airflow dag中的命令注入漏洞复现【vulhub靶场】
- CRLF注入漏洞(响应截断)攻击实战
- 用友 GRP-u8注入漏洞
- 米酷影视 MKCMS5.0 前台SQL注入漏洞
- (CVE-2020-15778)OpenSSH_scp RCE命令注入漏洞复现