WordPress Francophone

Comme une image · 22-06-2008 16:06:30

Bonjour à tous,

J'invite les utilisateurs (nombreux, je crois) de Nextgen Gallery à momentanément désactiver leur extension tant qu'aucune nouvelle version ne vient corriger la faille de sécurité qui a été publiée (et qui, du coup, risque de susciter de médiocres mais dangereuses vocations).

Cf. http://blogsecurity.net/wordpress/nextg … -xss-flaw/

[Sujet épinglé en attente de la levée de l'alerte]

Bracame · 24-06-2008 09:54:51

Merci de l'alerte…

Poufpouf · 26-06-2008 00:57:00

la cata je viens de refaire toutes mes photos et j'en ai beaucoup avec cette extension

je cherchais justement où était la faille de mon blog... je coyais un more mal placé

dans la page d'infos normale qui s'affiche plus on a le message en lien :

boelinger.com - New Web Server

This page is currently offline, I apologize for the inconvenience.

I planned to be online again on Monday, 30.June 2008

CU Alex Rabe

peux-tu nous dire d'où tu as l'info ? de l'auteur qui n'arrete pas de travailler sur son extension ? ou d'où ? boulet

j'ai été vérifier dans la liste des plugins compatibles ici http://codex.wordpress.org/Plugins/Plug … bility/2.5
et le lien là http://wordpress.org/extend/plugins/nextgen-gallery/ rien n'est signalé... wp amérique n'aurait rien vu ? et la France oui ? j'ai du mal à te croire ange

Dernière modification par Poufpouf (26-06-2008 01:10:32)

Poufpouf · 26-06-2008 10:57:59

encore moi, pas pour rien :
j'ai ouvert un topic hier soir sur le forum de WP amérique précisément sur le plugin incriminé, aussitôt Bee m'a posé les questions d'où.... voici le lien si vous êtes interessé c'est en anglais évidemment (dont mon très vilain siffle anglais, mais il comprend c'est le but, non lol )
http://wordpress.org/support/topic/1850 … ost-790610

Comme une image · 26-06-2008 14:54:47

Pourtant j'ai mis le lien de ma source dans le texte de mon message et c'est une source sérieuse !

Poufpouf · 26-06-2008 15:01:39

si j'avais mis en doute.... etc... j'aurais pas ouvert un topic !
je connais le site dont tu as mis le lien c'est celui que je fréquente aussi pour ma propre sécu.... lol

Poufpouf · 28-06-2008 15:16:06

je cite l'article en anglais que le concerné au premier chef vient d'écrire sur son site - alerté par moi sur le plugin dans WP amérique -, en effet il n'aurait pas été dans son interet d'avoir fait un plugin sans sécurité, depuis qu'il est utilisé par 200 000 blogs je pense que ce serait su

Security issue or not ?
18Jun08

Before to many people starts writing that there is a security problem, I would like to give my statement . In the current version of NextGEN Gallery it’s possible to include javascript commands inside the description field (So called XSS vulnerability) as long as the user has admin access to the blog . It was my intention to allow here HTML code and I see no security flaw unless somebody has access to your blog… but then he can enter also a javascript code inside a blog post or a page or do other bad things.

So is this now a problem or not ? It’s a simple thing to strip out any HTML code, but does somebody see a real security problem ? Should I disallow any HTML code for editors , auhors and admins ?

à vous de voir....
et son lien http://alexrabe.boelinger.com/2008/06/1 … ue-or-not/ que vous pouvez traduire si necesaire par google par ex.

Dernière modification par Poufpouf (28-06-2008 15:18:08)

WordPress Francophone

La référence en matiere de moteur de blog.

Le multi-blogs devient un jeu d'enfant !

La communauté, c'est vous qui la faites !

WordPress et vous !

Annonce

#1 22-06-2008 16:06:30

[Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures

#2 24-06-2008 09:54:51

Re: [Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures

#3 26-06-2008 00:57:00

Re: [Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures

#4 26-06-2008 10:57:59

Re: [Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures

#5 26-06-2008 14:54:47

Re: [Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures

#6 26-06-2008 15:01:39

Re: [Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures

#7 28-06-2008 15:16:06

Re: [Alerte] Faille de sécurité Nextgen gallery v0.96 et inférieures

Pied de page des forums