Este plugin lo usé durante años para hacer los lightboxes en docenas de instalaciones, seguramente os suene. Era completito, ligero y estable. Allá por mayo de 2016, de la noche a la mañana desapareció del repo pero nada más. Lo busqué por ahí pero no encontré ninguna noticia al respecto de por qué había desaparecido.
El caso es que tenía una vulnerabilidad y como el autor no la parcheó en un tiempo se eliminó del respositorio. Y yo me he enterado ahora por un hilo y de casualidad.
We recently discovered that the Lightbox Plus Colorbox plugin has a cross-site request forgery (CSRF)/cross-site scripting (XSS) vulnerability in version 2.7.2, and some prior versions, on the page/wp-admin/themes.php?page=lightboxplus.
No nonce is included on the page, leading to the CSRF issue.
For the XSS issue, in the file /lightboxplus.php starting at line 326 settings are saved and there is no sanitization done.
(…)
- 3/29/2016 – Developer notified.
- 4/5/2016 – WordPress Plugin Directory notified.
- 4/5/2016 – Plugin removed from WordPress Plugin Directory.
Ahora me veo en la tesitura de revisar todas esas instalaciones y cambiarlo por otro (hay muchos plugins y mejoras, eso es lo de menos) pero lo que me da rabia es haberme enterado de chiripa.
Conclusión: hay que repensar qué hacemos con un plugin vulnerable si el autor no puede o no quiere parchearlo. Quitarlo del repo sí, pero había que notificarlo de alguna manera. Y siguiendo esa lógica el mensaje de “Actualización disponible” en el listado de plugins instalados en WP debería ir claramente marcado si es una actualización de seguridad.
PD: Ahora estoy usando Responsive Lightbox by dFactory que es además responsive y reconoce gestos táctiles.
