Voir à http://secunia.com/advisories/47875/ si vous gérez une telle galerie.

Je crois que c'est un peu périmé comme avis de sécurité.

Il y a bien eu une faille qui a malheureusement été exploitée. J'en ai fait personnellement les frais. C'était une attaque de type injection sql qui a exploité une faille non pas dans ZenPhoto, mais une faille dans un utilitaire intégré à ZenPhoto : AjaxFilemanager.

Le but de l'attaque était d'insérer du code javascript distant dans les pages du portefolio. Code probablement malicieux pour dérober les mots de passe et autres. Sauf que heureusement, la structure de ZenPhoto n'était pas compatible avec ce type d'attaque. Cela a eu "juste" pour effet de mettre les sites HS : page blanche. Une simple restauration à suffit à les relancer.

Il faut également préciser que les sites touchés étaient laxiste aux niveaux des permissions sur le serveurs. Des droits d’écriture superflus étaient présents. Les serveurs bien réglés (donc pas le mien à l'époque) n'ont pas été touchés.

Dans un premier temps zenphoto a publié une mise à jour de sécurité, à savoir le même Zenphoto mais sans le gestionnaire de fichier. Puis lorsque les développeurs de Ajaxfilemanager on publié une nouvelle version (sécurisée) de leur utilitaire, le gestionnaire de fichier a repris sa place dans Zenphoto.

Toutefois l'attaque a été pas mal traumatisante pour les utilisateurs de ZenPhoto, Ajaxilemanager a reculé d'un cran dans l'intégration avec ZenPhoto. Il est désormais géré comme une extensions, désactivée par défaut.

Voilà. Rien n'est parfait dans ce bas monde, mais ZenPhoto est vraiment un superbe gestionnaire de galerie, gratuit et OpenSource !

ah non en fait tu as raison.

C'est pas très claire car la 1.4.2.1 qui vient de sortir n'est pas estampillé «security update», mais quand on lit la description on comprend qu'il y a un risque qq part.

Bref, merci de l'avoir signalé