Così come rivelato da seclists di recente, GalleryBank – il plugin per creare gradevoli gallerie di video o immagini – sarebbe affetto nella penultima versione, al momento in cui scriviamo, da una falla che consentirebbe ad un utente malevolo il cross-site scripting (XSS).
In sostanza l’attacco sfrutta un mancato controllo su una variabile per iniettare via POST del codice malevolo, come nell’esempio riportato di seguito:
/wordpress/wp-admin/admin.php?page=add_album&action=album_gallery_library¶m=reorder_td_control
inviando via POST i seguenti dati:
recordsArray[]=<script>...codice arbitrario in JS...</script>
La versione del plugin aggiornato è stata immediatamente prodotta (2.0.20) dagli sviluppatori ed è altamente consigliabile aggiornarla se, eventualmente, fosse installata sul nostro sito in WordPress.