Wordfence其實是在去年的12月14日就發現了這兩個漏洞,而Imagely則是在12月17日便發布NextGen Gallery 3.5.0來修補相關漏洞,不過,BleepingComputer統計NextGen Gallery自更新以來的下載量,顯示可能還有超過53萬個採用該外掛程式的WordPress網站尚未部署最新版本,因而呼籲使用者應該要儘快展開行動。

WordPress安全外掛程式供應商Wordfence本周指出,WordPress上有個知名的圖庫外掛程式NextGen Gallery含有兩個跨站請求偽造(Cross-Site Request Forgery,CSRF)漏洞,可造成遠端程式執行或跨站指令碼攻擊,最嚴重的攻擊將允許駭客接管使用者的WordPress網站。

NextGen Gallery是個老牌的WordPress圖庫外掛程式,由Imagely在2007年發表,迄今全球已有超過80萬個WordPress網站安裝了該外掛程式,號稱是個完整的WordPress圖庫管理系統,支援一次上傳大量照片,亦可匯入元資料,可自動排序圖片,編輯縮圖或建立相簿,它提供免費的基本版及付費的進階版。

研究人員指出,成功地開採這兩個漏洞將允許駭客接管WordPress網站、將流量導至惡意網站、注入垃圾訊息,或是進行網釣攻擊等。

Wordfence其實是在去年的12月14日就發現了這兩個漏洞,而Imagely則是在12月17日便發布NextGen Gallery 3.5.0來修補相關漏洞,不過,BleepingComputer統計NextGen Gallery自更新以來的下載量,顯示可能還有超過53萬個採用該外掛程式的WordPress網站尚未部署最新版本,因而呼籲使用者應該要儘快展開行動。


熱門新聞

Advertisement