Закрыта опасная уязвимость в плагине NextGen Gallery
Уязвимость затрагивает более 800 тысч сайтов под управлением WordPress.
14 декабря 2020 года команда Wordfence Threat Intelligence завершила исследование двух уязвимостей подделки межсайтовых запросов (CSRF) в NextGen Gallery, плагине WordPress с более чем 800.000 установками, включая уязвимость критической степени серьезности, которая может привести к удаленному выполнению кода (RCE) и сохраненные межсайтовые сценарии (XSS).
Использование этих уязвимостей может привести к захвату сайта, злонамеренным перенаправлениям, внедрению спама, фишингу и многому другому.
Первоначально мы связались с издателем плагина, Imagely, в тот же день, и предоставили полное раскрытие информации на следующий день, 15 декабря 2020 года. Imagely отправил нам исправления для проверки 16 декабря и опубликовал исправленную версию 3.5.0 на 17 декабря 2020.
Пользователи Wordfence Premium получили правила брандмауэра, защищающие от этих уязвимостей, 14 декабря 2020 года. Сайты, на которых все еще работает бесплатная версия Wordfence, получили эти правила через 30 дней, 13 января 2021 года.
