El día de ayer (27 de febrero de 2017), el blog Securi publicó un post en el cuál detalla una vulnerabilidad que encontraron en el plugin NextGen Gallery. La vulnerabilidad que es del tipo de inyección de SQL es bastante severa ya que permite a un atacante remoto reescribir en la base de datos o descargar tablas enteras. Si usted tiene un website con WordPress y usa este plugin por favor actualicelo inmediatamente.
El post de Securi provee todos los detalles técnicos de la vulnerabilidad. Pero la conclusión que debemos extraer es como siempre, no confiar en la entrada de datos por parte de un usuario y si es que debemos aceptar un texto. Siempre debemos usar una función que limpie la entrada de texto antes de escribir a la base de datos.