知名WordPress插件NextGen Gallery含有网站可被接管的安全漏洞，请快修补

WordPress安全插件供应商Wordfence本周指出，WordPress上有个知名的图库插件NextGen Gallery含有两个跨站请求伪造（Cross-Site Request Forgery，CSRF）漏洞，可造成远端程式执行或跨站指令码攻击，最严重的攻击将允许骇客接管使用者的WordPress网站。

NextGen Gallery是个老牌的WordPress图库插件，由Imagely在2007年发表，迄今全球已有超过80万个WordPress网站安装了该插件，号称是个完整的WordPress图库管理系统，支援一次上传大量照片，亦可汇入元资料，可自动排序图片，编辑缩图或建立相簿，它提供免费的基本版及付费的进阶版。

研究人员指出，成功地开采这两个漏洞将允许骇客接管WordPress网站、将流量导至恶意网站、注入垃圾讯息，或是进行网钓攻击等。

Wordfence其实是在去年的12月14日就发现了这两个漏洞，而Imagely则是在12月17日便发布NextGen Gallery 3.5.0来修补相关漏洞，不过，BleepingComputer统计NextGen Gallery自更新以来的下载量，显示可能还有超过53万个采用该插件的WordPress网站尚未部署最新版本，因而呼吁使用者应该要尽快展开行动。