https://opennet.ru/openforum/vsluhforumID3/110577.html В NextGEN Gallery (https://wordpress.org/plugins/nextgen-gallery/), дополнении к системе управления web-контентом WordPress, насчитывающем более 16 млн загрузок и более миллиона установок, выявлена (https://blog.sucuri.net/2017/02/sql-injection-vulnerability-nextgen-gallery-wordpress.html) критическая узвимость, позволяющая неаутентифицированному посетителю выполнить SQL-запрос и получить доступ к содержимому базы данных, в том числе к хэшам паролей пользователей WordPress.<br><br><br>Проблема проявляется только если в дополнении активирована функции отображения облака тегов или разрешено размещение материалов для публикации после рецензирования. Уязвимость вызвана некорректной проверкой параметров запроса (например, "http://target.url/2017/01/17/new-one/nggallery/tags/test%251%24%25s))%20or%201=1%23"), что приводит к включению в SQL-запрос полученных от пользователя данных, без их корректной чистки. Уязвимость молча устранена в версии NextGEN Gallery 2.1.79 без отражения информации об исправлении критической уязви https://opennet.ru/openforum/vsluhforumID3/110577.html#30 Fri, 03 Mar 2017 08:45:43 GMT &gt; Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся.<br><br>А он ведь по существу. В той же TYPO3, например, TER давно обучили рассказывать про расширения, по которым известны проблемы. И состояние там не надо угадывать по версии и последней сборке -- может, сделано пять лет тому и на века (как минимум до ближайшего изменения API), а может, позавчера, но вчера уже нашли, эээ, "технологическое отверстие". В смысле есть человекочитаемый статус от "Experimental" до уж не помню, что там за rock stable.<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#29 Fri, 03 Mar 2017 08:41:56 GMT &gt; https://www.nytimes.com/ &#8212; на wordpress'е и без проблем.<br><br>У этих проблемы в ДНК, если что. "И не лечатся" (ц).<br><br>&gt; И все без проблем.<br><br>Плавали, знаем -- #потерьнет.<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#28 Thu, 02 Mar 2017 21:22:08 GMT Я вот хочу, чтобы было хотя бы вот так: https://www.drupal.org/security-advisory-policy<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#26 Thu, 02 Mar 2017 15:57:38 GMT Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся.<br>Активность разработчика - это главное для любого проекта. В open source это гарантия, что найденная третьим лицом ошибка будет исправлена быстро. Именно так здесь все устроено. И это работает, как тебе не покажется странным, в пылу твоего юношеского максимализма.<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#25 Thu, 02 Mar 2017 15:24:32 GMT &gt;Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин? <br><br>Не подавись только.<br>А если плагин имеет версию 1.2.3 и обновлялся 3 года назад, то он лучше плагина версии 2.3.4, который обновлялся 2 года назад? Или наоборот? Большая версия говорит о востребованности плагина и его бурном развитии или о криворукости автора, которому часто приходится что-то исправлять? Год апдейта говорит о заброшенности или о законченности? Я знаю лишь то, что ты говоришь чушь.<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#24 Thu, 02 Mar 2017 13:10:51 GMT Pelican, Jekyll, Hugo.<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#23 Thu, 02 Mar 2017 12:59:50 GMT Вот, отличный пример человека, который не хочет думать и гордится этим.<br>Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин?<br><br>Как ты вообще хочешь? Чтобы было большими буквами написано "хороший" или "плохой" плагин? Если есть дельное предложение - напиши девелоперам ВП, они воспримут с радостью. На текущий момент они сделали как смогли, постарались выдать максимум информации о плагине. Если не можешь выбрать - не скули, чтобы кто-то выбрал за тебя. За таким - в эпл.<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#21 Thu, 02 Mar 2017 11:40:43 GMT &gt; https://www.nytimes.com/ &#8212; на wordpress'е и без проблем.<br>&gt; <br>&gt; И еще нацать пять тыщ сайтов.<br>&gt; И все без проблем.<br><br>Брехня, там Scoop CMS.<br> https://opennet.ru/openforum/vsluhforumID3/110577.html#20 Thu, 02 Mar 2017 08:30:16 GMT &gt; капец, в какой-то там дополнении к вп sql-injection. и чо??? там еще <br>&gt; 100500 дополнений и в них 100500*n sql-injection-ов, что с того-то.<br><br>Это одно из самых популярных дополнений, у него установок как у всех остальных CMS вместе взятых.<br>С сайта дополнения - "The most popular WordPress gallery plugin and one of the most popular plugins of all time with over 16.5 million downloads."<br>