Hilfe! nextGen Gallery Cross Site Scripting bug?!

Hallo!

Habe gerade bei den WordPress News gelesen:

"The Nextgen Gallery Plugin version <= 0.96 have been found vulnerable to a persistent Cross Site Scripting bug.."

unter -> BlogSecurity » Blog Archive » Nextgen gallery - XSS flaw

WAS IST DAS?? XSS?? Bahnhof??

"According to the advisory, the attacker does require authentication and access to the following URL:http://[host]/[directory]/wp-admin/admin.php?page=nggallery-manage-gallery"

Was bedeutet: "the attacker does require authentication and access to the following" ?

Heute war auf einmal meine deutsche Sprachdatei vom Server verschwunden und ich hatte einen smiley in meinem blog im footer, den ich dort nicht eingebaut habe !?????

Kann ich etwas tun / an meinen Sicherheitseinstellungen irgendwie ändern?

Bibber! Bitte um schnelle Hilfe!

Grüsse von solveig

 

Danke noch einmal an Dich, codestyling!!

Mein Resümee: Der Cross Site Scripting bug nextGen Gallery (Version 0.96) in Kombination mit der WP Einstellung "Alle Benutzer dürfen sich registrieren" (klar spielen hier auch die Rechte dieser Benutzer eine Rolle) zeigt für diese Plugin-Version im Moment wohl leider:
Hopsalla - ganz schön gefährlich! - Jedenfalls wenn man andere an der Bloggestaltung teilhaben lässt. Die sollte man sich also vorher gut aussuchen. Schade: das schränkt die Öffentlichkeit eines blogs ein, aber vielleicht kommt ja noch ein fix.

Grüsse von solveig

 

Wer darf was?

Hallo alex.rabe,
danke für Deine Info.

Heisst, das, dass auch ein registrierter Forumnutzer hier im Forum z.B. fiesen Code z.B. in einem Link verstecken könnte, der dann im Namen eines anderen eingeloggten Forummitglieds ausgeführt wird, wenn dieses Mitglied eingeloggt ist und auf den Link klickt?
Entschuldige die Naivität meiner Frage (alle Programmierer lachen wahrscheinlich Tränen, ich weiss), aber ich würde gerne verstehen, welche Rechtekonstellation der Blognutzer gefährlich werden können. (Denn die nextGen Gallery gefällt mir ausgesprochen gut!)
Klar: Administratoren dürfen alles und sollten daher nur Blognutzer "reinen Herzens" sein. Abonnenten dürfen nichts - nur gucken & evtl. kommentieren (wenn das die Blogeinstellungen zulassen).
Aber Redakteur, Autor, Mitarbeiter? Haben die gererell erweiterte Rechte?

Wie legt man denn als "Superadmin" fest bzw. wie schränkt man ein, wer die nextGen Gallery nutzen darf??

Das ist für mich im Moment die Frage nach des Pudels Kern.

Grüsse von solveig

 

Rollen-Wissen..

Zur Ergänzung:

Bei genauer Betachtung zeigt sich:
Im Adminberich der NextGen Gallery kann man die Rollen / Zugriffsrechte auf die Gallery eindeutig als Admin verteilen. Sogar ein Link zum RoleManager ist vorhanden für detailliertere Einstellungen!

Ein Bug ist die Möglichkeit des Cross-Site-Scripting aus meiner Sicht NICHT mehr (Danke noch mal für Deine Antwort alex.rabe) - allerdings ist für einen Einsteiger wie mich der Hinweis, das so etwas bei einer best. Rechtekonstellation möglich ist, SEHR wichtig gewesen.

Danke noch mal an alle, die geholfen haben, das ganze zu klären!

Grüsse von solveig