В популярном плагине для WordPress была обнаружена классическая SQL-инъекция, которая чаще всего появляется из-за отсутствия валидирования входных данных.
Данный случай не стал исключением и в плагине NextGEN Gallery в версиях до 2.1.79. с общем количеством загрузок более 1.5 миллиона была выявленная данная уязвимость.

Любой не авторизированный пользователь может выполнить произвольный код, который может поставить угрозу информацию пользователей из базы данных, в том числе к хэши паролей пользователей WordPress.
Уязвимость проявляется только в том случае, если активна функция «отображение облака тегов» или активно «размещение материалов для публикации».
Примет эксплуатации:

/nggallery/tags/test%251%24%25s))%20or%201=1%23

Уязвимость была устранена в версии NextGEN Gallery v. 2.1.19.
Использование Web Application Firewall позволяет блокировать подобные атаки.