WordPress安全插件程序供应商Wordfence本周指出,WordPress上有个知名的图库插件程序NextGen Gallery含有两个跨站请求伪造(Cross-Site Request Forgery,CSRF)漏洞,可造成远程程序执行或跨站脚本攻击,最严重的攻击将允许黑客接管用户的WordPress网站。
NextGen Gallery是个老牌的WordPress图库插件程序,由Imagely在2007年发布,迄今全球已有超过80万个WordPress网站安装了该插件程序,号称是个完整的WordPress图库管理系统,支持一次上传大量照片,也可导入元资料,可自动排序图片,编辑缩略图或创建相册,它提供免费的基本版及付费的高端版。
研究人员指出,成功地开采这两个漏洞将允许黑客接管WordPress网站、将流量跳转至恶意网站、注入垃圾消息,或是进行网络钓鱼攻击等。
Wordfence其实是在去年的12月14日就发现了这两个漏洞,而Imagely则是在12月17日便发布NextGen Gallery 3.5.0来修补相关漏洞,不过,BleepingComputer统计NextGen Gallery自更新以来的下载量,显示可能还有超过53万个采用该插件程序的WordPress网站尚未部署最新版本,因而呼吁用户应该要尽快展开行动。