TL;DR

On 30 January 2026 a DOM-based stored Cross‑Site Scripting (XSS) issue affecting NextGEN Gallery versions <= 3.59.11 (CVE‑2025‑2537) was disclosed by researcher Webbernaut and fixed in 3.59.12. A malicious contributor account can persist payloads in gallery metadata that are later interpreted unsafely by client-side ThickBox code, leading to script execution in visitors’ browsers — including editors or administrators who interact with gallery items. The CVSS is 6.5. Exploitation requires an authenticated contributor account and user interaction, but real risk exists for multi-author, membership, and community sites that accept uploads from untrusted users.

Si vous utilisez NextGEN Gallery, mettez à jour vers 3.59.12 immédiatement. Si vous ne pouvez pas mettre à jour tout de suite, appliquez les atténuations décrites ci-dessous (durcissement, patch virtuel via votre WAF, détection et réponse aux incidents) pour réduire le risque.

Pourquoi cela importe (en termes simples)

NextGEN Gallery est largement utilisé. Le problème survient parce que les métadonnées fournies par les contributeurs sont stockées et utilisées plus tard comme entrée pour le script ThickBox lightbox. ThickBox traite le contenu de manière à pouvoir exécuter du HTML/JS dynamique si ce contenu n'est pas correctement échappé. Un attaquant avec des privilèges de contributeur peut injecter des charges utiles persistantes dans les champs de la galerie ; lorsque un utilisateur ayant des privilèges plus élevés ou tout visiteur déclenche l'affichage vulnérable, la charge utile s'exécute dans leur navigateur.

Conséquences : vol de session, prise de contrôle de compte, spam persistant ou redirection, malware côté client, ou abus de sessions administratives pour modifier le contenu du site. Sur les sites collaboratifs de Hong Kong ou les portails communautaires régionaux où les contributeurs sont courants, c'est une menace réaliste.

Résumé technique

• Type de vulnérabilité : Cross‑Site Scripting (XSS) basé sur le DOM stocké
• Logiciel affecté : plugin NextGEN Gallery pour WordPress
• Versions affectées : <= 3.59.11
• Corrigé dans : 3.59.12
• CVE : CVE‑2025‑2537
• Privilège requis : Contributeur (authentifié)
• CVSS (informationnel) : 6.5 (Interaction utilisateur requise)

Comment cela fonctionne (conceptuellement)

• Un contributeur peut ajouter/modifier les métadonnées de la galerie (titre, description, champs de lien).
• Le plugin stocke ces métadonnées dans la base de données.
• Lorsque la galerie est rendue, le code du plugin ou de ThickBox construit des fragments ou des attributs DOM en utilisant des données stockées sans un échappement contextuel suffisant.
• Lorsque un visiteur ou un administrateur interagit avec l'interface utilisateur de la galerie, ThickBox traite les fragments et le navigateur peut exécuter du HTML/JS fourni par l'attaquant — rendant cela un XSS stocké basé sur le DOM persistant.

Remarque : Le XSS basé sur le DOM implique couramment des API telles que innerHTML, document.write, ou la construction de chaînes HTML avec des gestionnaires d'événements. Le correctif 3.59.12 traite l'utilisation non sécurisée côté client et/ou assainit les valeurs avant injection.

Scénarios d'attaque réalistes

1. Petit site éditorial avec des contributeurs
   Un contributeur télécharge des images et définit une légende de galerie élaborée. Un éditeur ou un administrateur consulte ou prévisualise plus tard la galerie ; le script injecté s'exécute et vole des cookies de session ou utilise la session de l'administrateur pour apporter des modifications.
2. Site d'adhésion ou de communauté
   Les attaquants créent des galeries avec des scripts persistants ciblant les membres connectés. Lorsque les membres consultent des galeries, les navigateurs exécutent des charges utiles qui volent des identifiants ou effectuent des actions non désirées.
3. Soumissions publiques
   Les sites acceptant des soumissions externes sont des cibles attrayantes : les contributeurs téléchargent des médias et créent des métadonnées pour persister des charges utiles qui se déclenchent lorsque les visiteurs ouvrent des lightboxes.

Même avec “seulement Contributeur” requis, cela devient un risque plus élevé lorsque des utilisateurs privilégiés interagissent avec le contenu — un schéma courant sur les plateformes collaboratives.

Actions immédiates pour les propriétaires de sites (priorisées)

1. Mettez à jour NextGEN Gallery vers la version 3.59.12 (ou ultérieure) — faites-le maintenant si vous le pouvez. C'est l'étape la plus importante.
2. Si vous ne pouvez pas mettre à jour immédiatement :
   • Désactivez temporairement NextGEN Gallery.
   • Ou désactivez les fonctionnalités ThickBox si le plugin offre cette configuration.
3. Limiter les capacités des contributeurs :
   • Empêchez les contributeurs de télécharger des fichiers jusqu'à ce que le correctif soit appliqué.
   • Limitez qui peut créer ou éditer des galeries.
   • Révoquez temporairement le rôle de Contributeur pour les utilisateurs non fiables.
4. Appliquez des correctifs virtuels via votre pare-feu d'application Web (WAF) lorsque cela est possible — voir les conseils WAF ci-dessous.
5. Scannez votre base de données pour des scripts injectés et nettoyez toute entrée malveillante (voir la section de détection).
6. Forcez les réinitialisations de mot de passe pour les comptes à privilèges élevés si vous trouvez une exploitation confirmée.

Comment un WAF peut atténuer cela immédiatement

Un WAF (pare-feu d'application Web) peut fournir un correctif virtuel pendant que vous mettez à jour. Utilisez des règles génériques, bien testées et testez en mode de surveillance avant de bloquer pour éviter les faux positifs.

Comportements de règles suggérés (conceptuel)

• Block POST/PUT requests to gallery save endpoints that contain suspicious content patterns such as
  Vérifiez ma commande

  0

  Sous-total

  Taxes et frais de port calculés à la caisse

  Passer à la caisse