Luki w popularnej wtyczce do galerii Photo Gallery w WordPressie

Nie będę ukrywać, nie jestem fanką instalowania dodatkowych wtyczek do galerii w WordPressie. Nierzadko powodują one trudności przy migracji strony na inny serwer. Regularnym problemem niektórych dodatków są także niestandardowe formaty, które powodują, że po zmianie wtyczki wszystkie zdjęcia trzeba wgrywać na nowo. 
Wtyczka do galerii to także… kolejny plugin w WordPressie (kolejny dodatkowy kod), który może być podatny na infekcje.

luka we wtyczce do galerii

W jednej z popularnych wtyczek do galerii – Photo Gallery by 10Web wykryto własnie podatności, przez które strony wykorzystujące ten dodatek mogły zostać zainfekowane.

Luki we wtyczce Photo Gallery by 10Web

Mamy do czynienia z metodą ataku SQL Injection wykorzystującą lukę w zabezpieczeniach wtyczki Photo Galleryby 10Web. Standardowo podatność tego typu pozwala atakującemu na wstrzyknięcie do strony nieautoryzowanego zapytania SQL. Jest to możliwe gdy brakuje właściwego systemu sprawdzenia parametru, który jest przekazywany przez usera. Po wstrzyknięciu kodu do bazy danych atakujący może modyfikować jej zapisy, a także usuwać informacje i przechwycić dane.

Kolejna luka, która została wykryta we wtyczce to podatność na atak XSS – Cross-Site-Scripting. Atak polega na wskrzyknięciu fragmentu (najczęściej kodu JavaScript) do strony tak, by móc go uruchomić w przeglądarce. W odróżnieniu od SQL Injection, którego celem jest część serwerowa strony, atak XSS celuje w wykonanie kodu po stronie klienta, czyli przeglądarki. Atakujący może dzięki temu wykonać dowolne działanie, np. przejąć sesje użytkownika albo przekierować ruch na złośliwe strony.

Masz wtyczkę Photo Gallery by 10Web w swoim WordPressie?

Twórcy wtyczki wyeliminowali już opisane wyżej podatności i w ciągu ostatniej doby pojawiła się nowa wersja wtyczki. Niezwłocznie zaloguj się do swojego WordPressa i podnieś wersję dodatku do 1.5.35 lub nowszej.


Luki we wtyczce do galerii to nie wyjątek. Wcześniej pisaliśmy także o podatnościach w popularnej wtyczce do robienia kopii zapasowych i migracji: Duplicator. Wpadkę zaliczyła także wtyczka WP GDPR Compliance, dzięki której można dostosować swoją stronę WWW do wymagań RODO, a także Yuzo Related Posts – dodatek do polecania kolejnych wpisów.

Wszyscy Klienci LH.pl otrzymali już komunikat o wykrytych podatnościach, a także wskazaliśmy niezbędne do podjęcia kroki. Jeżeli więc szukasz hostingu, który zadba o Twojego WordPressa – wybierz LH.pl i śpij spokojnie.

Darmowy kurs WordPress
Poradnik WordPress
Artykuł odpowiedział na twoje pytanie? Udostępnij go dalej:
Obrazek domyślny
Aneta Rutkowska
Lubi gdy wszystko działa, a najlepiej jeżeli działa szybko. W szczególności strony internetowe. Pomaga użytkownikom WordPressa zrozumieć go lepiej. Gdyby fizycy mieli taką umiejętność wyjaśniania skomplikowanych rzeczy, wszyscy rozumielibyśmy fizykę kwantową. Na co dzień koordynuje różne procesy w najlepszej firmie hostingowej w Polsce – LH.pl.