[Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures (Créer un compte)

  • Statut : non résolu
8 sujets de 1 à 8 (sur un total de 8)
  • Auteur
    Messages
  • #460552
    Comme une image
    Participant
    Maître WordPress
    2493 contributions

    Bonjour à tous,

    J’invite les utilisateurs (nombreux, je crois) de Nextgen Gallery à momentanément désactiver leur extension tant qu’aucune nouvelle version ne vient corriger la faille de sécurité qui a été publiée (et qui, du coup, risque de susciter de médiocres mais dangereuses vocations).

    Cf. http://blogsecurity.net/wordpress/nextgen-gallery-xss-flaw/

    [Sujet épinglé en attente de la levée de l’alerte]

    #634445
    Bracame
    Membre
    Padawan WordPress
    98 contributions

    Merci de l’alerte…

    #634446
    Poufpouf
    Membre
    Chevalier WordPress
    379 contributions

    la cata je viens de refaire toutes mes photos et j’en ai beaucoup avec cette extension

    je cherchais justement où était la faille de mon blog… je coyais un more mal placé

    dans la page d’infos normale qui s’affiche plus on a le message en lien :

    boelinger.com – New Web Server

    This page is currently offline, I apologize for the inconvenience.

    I planned to be online again on Monday, 30.June 2008

    CU Alex Rabe

    peux-tu nous dire d’où tu as l’info ? de l’auteur qui n’arrete pas de travailler sur son extension ? ou d’où ? :boulet:

    j’ai été vérifier dans la liste des plugins compatibles ici http://codex.wordpress.org/Plugins/Plugin_Compatibility/2.5
    et le lien là http://wordpress.org/extend/plugins/nextgen-gallery/ rien n’est signalé… wp amérique n’aurait rien vu ? et la France oui ? j’ai du mal à te croire 😇

    #634447
    Poufpouf
    Membre
    Chevalier WordPress
    379 contributions

    encore moi, pas pour rien :
    j’ai ouvert un topic hier soir sur le forum de WP amérique précisément sur le plugin incriminé, aussitôt Bee m’a posé les questions d’où…. voici le lien si vous êtes interessé c’est en anglais évidemment (dont mon très vilain 😗 anglais, mais il comprend c’est le but, non 😆 )
    http://wordpress.org/support/topic/185036?replies=2#post-790610

    #634448
    Comme une image
    Participant
    Maître WordPress
    2493 contributions

    Pourtant j’ai mis le lien de ma source dans le texte de mon message et c’est une source sérieuse !

    #634449
    Poufpouf
    Membre
    Chevalier WordPress
    379 contributions

    si j’avais mis en doute…. etc… j’aurais pas ouvert un topic ! :wp:
    je connais le site dont tu as mis le lien c’est celui que je fréquente aussi pour ma propre sécu…. 😆

    #634450
    Poufpouf
    Membre
    Chevalier WordPress
    379 contributions

    je cite l’article en anglais que le concerné au premier chef vient d’écrire sur son site – alerté par moi sur le plugin dans WP amérique -, en effet il n’aurait pas été dans son interet d’avoir fait un plugin sans sécurité, depuis qu’il est utilisé par 200 000 blogs je pense que ce serait su

    Security issue or not ?
    18Jun08

    Before to many people starts writing that there is a security problem, I would like to give my statement . In the current version of NextGEN Gallery it’s possible to include javascript commands inside the description field (So called XSS vulnerability) as long as the user has admin access to the blog . It was my intention to allow here HTML code and I see no security flaw unless somebody has access to your blog… but then he can enter also a javascript code inside a blog post or a page or do other bad things.

    So is this now a problem or not ? It’s a simple thing to strip out any HTML code, but does somebody see a real security problem ? Should I disallow any HTML code for editors , auhors and admins ?

    à vous de voir….
    et son lien http://alexrabe.boelinger.com/2008/06/18/security-issue-or-not/ que vous pouvez traduire si necesaire par google par ex.

    #634451
    Gawel44
    Participant
    Padawan WordPress
    83 contributions

    Il me semble que le site WordPress-tuto c’était fait pirater à cause d’un autre plugin de gestion d’images en Juin…

    Comme quoi les plugins pour les photos/images il faut absolument penser à faire une mise à jour !

8 sujets de 1 à 8 (sur un total de 8)
  • Vous devez être connecté pour répondre à ce sujet.