Nucleusのメディアマネージャ(本体media.php及び代替プラグイン)において、いくつかの脆弱性が見つかりました。互いに信頼関係のない複数ユーザでNucleusを利用している場合、トラブルが発生する恐れがあります。受ける恐れのある被害は、投稿画像の改変または削除。外部からの操作によって任意にシステムファイルを書き換えられたり、記事やスキンを改竄されてしまうような重い脆弱性ではありませんが、CSRF脆弱性は近年よくあるタイプのクラックなので注意が必要です。
CSRF脆弱性が見つかっているのはNP_MediatocuとNP_ImageManager。サイト運用に参加していない第三者が悪意のトラップを外部サイトに仕掛けてこれにアクセスさせることで、任意のファイルを消去または改変することができます。
http://japan.nucleuscms.org/bb/viewtopic.php?p=24067#24067
詳細および対策については上記で触れられています。Nucleusコアについてはすでに対策版が完成しており、アップデートするだけで対応が完了します。NP_Mediatocuはきゃしゃさんが実験的にパッチを書いており、特に問題なければこれが対応版としてリリースされます。NP_Mediatocuの元となったmedia-tocu-dirsはそろそろ古くなっているので、これを機に公開を停止します。NP_ImageManagerについては現在のところメンテナー不在なので、運用でカバーするしかありません。記事を投稿したら、知らないサイトなどに寄り道せず必ずログオフするよう習慣付けてください。立ち寄った先に罠が仕掛けられていたらアウトです。NP_ImprovedMediaは、単独ユーザで運用している場合は問題ありません。複数ユーザで利用している場合は、ユーザが身内であるかどうかによっても判断が分かれるかもしれませんが、基本的にはアンインストールを推奨します。
というわけで、特に危ないのがNP_MediatocuとNP_ImageManager、このうちNP_ImageManagerは今のところパッチが作られる予定がないので運用でカバーしてください。といったところです。