WordPress的NextGEN Gallery插件中存在高危SQL注入漏洞

漏洞名:WordPress NextGEN Gallery插件SQL注入

影响产品：wordpress

公开时间：2017-02-27

漏洞等级：高危

影响版本：<2.1.79

漏洞描述：

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。一个安装量超过 100 万的流行 WordPress 插件被发现存在严重 SQL 注入漏洞，允许攻击者从网站的数据库窃取密码和密钥等敏感数据。该插件叫 NextGEN Galler。网站如果允许用户递交帖子，并且激活了 NextGEN Basic TagCloud Gallery 选项，允许访问者通过标签导航图库，攻击者可以修改 URL 参数，插入 SQL 查询指令，加载恶意链接时插件将会执行指令。该漏洞是因为对 URL 参数不正确的输入处理导致的。

小编提醒：使用网站安全狗可防御该漏洞。

参考：

http://securityaffairs.co/wordpress/56779/hacking/nextgen-gallery-plugin-flaw.html