- Statut : non résolu
- Ce sujet contient 7 réponses, 4 participants et a été mis à jour pour la dernière fois par Gawel44, le il y a 15 années et 9 mois.
-
AuteurMessages
-
22 juin 2008 à 14 h 06 min #460552
Bonjour à tous,
J’invite les utilisateurs (nombreux, je crois) de Nextgen Gallery à momentanément désactiver leur extension tant qu’aucune nouvelle version ne vient corriger la faille de sécurité qui a été publiée (et qui, du coup, risque de susciter de médiocres mais dangereuses vocations).
Cf. http://blogsecurity.net/wordpress/nextgen-gallery-xss-flaw/
[Sujet épinglé en attente de la levée de l’alerte]
24 juin 2008 à 7 h 54 min #634445Merci de l’alerte…
25 juin 2008 à 22 h 57 min #634446la cata je viens de refaire toutes mes photos et j’en ai beaucoup avec cette extension
je cherchais justement où était la faille de mon blog… je coyais un more mal placé
dans la page d’infos normale qui s’affiche plus on a le message en lien :
boelinger.com – New Web Server
This page is currently offline, I apologize for the inconvenience.
I planned to be online again on Monday, 30.June 2008
CU Alex Rabe
peux-tu nous dire d’où tu as l’info ? de l’auteur qui n’arrete pas de travailler sur son extension ? ou d’où ? :boulet:
j’ai été vérifier dans la liste des plugins compatibles ici http://codex.wordpress.org/Plugins/Plugin_Compatibility/2.5
et le lien là http://wordpress.org/extend/plugins/nextgen-gallery/ rien n’est signalé… wp amérique n’aurait rien vu ? et la France oui ? j’ai du mal à te croire 😇26 juin 2008 à 8 h 57 min #634447encore moi, pas pour rien :
j’ai ouvert un topic hier soir sur le forum de WP amérique précisément sur le plugin incriminé, aussitôt Bee m’a posé les questions d’où…. voici le lien si vous êtes interessé c’est en anglais évidemment (dont mon très vilain 😗 anglais, mais il comprend c’est le but, non 😆 )
http://wordpress.org/support/topic/185036?replies=2#post-79061026 juin 2008 à 12 h 54 min #634448Pourtant j’ai mis le lien de ma source dans le texte de mon message et c’est une source sérieuse !
26 juin 2008 à 13 h 01 min #634449si j’avais mis en doute…. etc… j’aurais pas ouvert un topic ! :wp:
je connais le site dont tu as mis le lien c’est celui que je fréquente aussi pour ma propre sécu…. 😆28 juin 2008 à 13 h 16 min #634450je cite l’article en anglais que le concerné au premier chef vient d’écrire sur son site – alerté par moi sur le plugin dans WP amérique -, en effet il n’aurait pas été dans son interet d’avoir fait un plugin sans sécurité, depuis qu’il est utilisé par 200 000 blogs je pense que ce serait su
Security issue or not ?
18Jun08Before to many people starts writing that there is a security problem, I would like to give my statement . In the current version of NextGEN Gallery it’s possible to include javascript commands inside the description field (So called XSS vulnerability) as long as the user has admin access to the blog . It was my intention to allow here HTML code and I see no security flaw unless somebody has access to your blog… but then he can enter also a javascript code inside a blog post or a page or do other bad things.
So is this now a problem or not ? It’s a simple thing to strip out any HTML code, but does somebody see a real security problem ? Should I disallow any HTML code for editors , auhors and admins ?
à vous de voir….
et son lien http://alexrabe.boelinger.com/2008/06/18/security-issue-or-not/ que vous pouvez traduire si necesaire par google par ex.29 avril 2009 à 10 h 45 min #634451Il me semble que le site WordPress-tuto c’était fait pirater à cause d’un autre plugin de gestion d’images en Juin…
Comme quoi les plugins pour les photos/images il faut absolument penser à faire une mise à jour !
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.