En USA-baserad it-säkerhetsföretaget har publicerat uppgifter om att två noll-dagar som påverkar två av Facebook ‘ s officiella WordPress plugins.
Detaljerna inkluderar även proof-of-concept (PoC) för kod som gör det möjligt för hackare att craft utnyttjar och lansera attacker mot webbplatser som använder två plugins.
Negativt plugins
De två noll-dagar inverkan “Messenger-Kund Chatt,” en WordPress-plugin som visar en anpassad Messenger chat-fönstret på WordPress webbplatser, och “Facebook för WooCommerce,” en WordPress plugin som gör att WordPress webbplats ägare för att ladda upp sina WooCommerce-butiker på deras Facebook-sidor.
Den första plugin är installerade av över 20 000 platser, medan den andra har en användarbas på 200.000-med dess statistik exploderande sedan mitten av April när WordPress teamet bestämde sig för att börja levereras Facebook för WooCommerce plugin som en del av den officiella WooCommerce online store plugin själv.
Sedan dess plugin har rönt ett kollektiv betyget 1,5 stjärnor, med den stora majoriteten av recensenter som klagar på fel och brist på uppdateringar.
De agg
Ändå, trots den dåliga rykte, idag, säkerheten för alla användare som har installerat dessa tillägg var att sätta sig i riskzonen på grund av en dum agg mellan en Denver-baserade företag som heter Vit Gran Design LLC (dba Plugin Sårbarhet), och WordPress forum måtta team.
I en tvist som pågått i flera år, Plugin Sårbarheter lag beslutade att de inte skulle följa en politik för att ändra på WordPress.org forum som bannade användare från att avslöja brister säkerhet genom forum, och i stället krävs säkerhet forskare e-post WordPress team, som sedan skulle kontakta plugin ägare.
Under de senaste åren, Plugin Sårbarheter laget har varit att avslöja brister säkerhet på WordPress forum i trots av denna regel — och som har sitt forum konton förbjudna som ett resultat av deras styre-att bryta beteendet.
Saker eskalerade under våren när Plugin Sårbarheter team bestämde sig för att ta sin protest ett steg längre.
I stället för att skapa ämnen på WordPress.org forum för att varna användare om säkerheten brister, de har också börjat publicera blogginlägg på sin webbplats med djupgående detaljer och PoC-kod om de sårbarheter som de hade funnit.
De avslöjas säkerhetsbrister på detta sätt för WordPress plugins som Lätt WP SMTP, Yuzo Relaterade Tjänster, Social Krigföring, Gul Penna Plugin, och WooCommerce Kassan Manager
Hackare fångade snabbt på, och många av detaljerna Plugin Sårbarheter som publiceras på deras webbplats var integrerade i aktiv skadlig kod kampanjer, några av som ledde till en kompromiss av några ganska stora webbplatser, längs vägen.
Inte så farligt-men fortfarande noll-dagar
Idag, Plugin Sårbarheter laget har fortsatt sin spree för att släppa noll-dagar istället för att arbeta med plugin författarna för att åtgärda säkerhetsproblem.
De uppgifter som offentliggörs om två cross-site request forgery (CSRF) brister som påverkar de två ovan nämnda Facebook WordPress plugins.
De två brister tillåter behöriga användare att ändra WordPress-sajt alternativ. De sårbarheter som inte är så farliga som de som framkommit tidigare i år, eftersom de kräver lite av social ingenjörskonst, där en registrerad användare klickar på en skadlig länk, eller en angripare lyckas att registrera ett konto på en webbplats som de vill anfalla. De kan vara svårare att utnyttja, men de tillåter angripare att ta över webbplatser.
Ändå, precis som innan, Plugin Sårbarheter team ignoreras helt rätt it-säkerhet etikett och publicerade uppgifter på deras blogg istället för att kontakta Facebook i privata att ha fel lösas.
Ett meddelande som publicerades på WordPress.org forum, men som togs bort efter att webbplatsens policy.
I en explainer företaget skrivit på sin blogg, Plugin Sårbarheter försökt att rättfärdiga sitt agerande genom att hävda Facebook bug bounty programmet är inte klart om bolagets WordPress plugins är berättigade till belöningar, och försökte att lägga skulden på det sociala nätverket för att begränsa tillgången till program endast för användare med ett Facebook-konto.
Deras ursäkter är tunn, minst sagt, som deras tidigare avslöjanden visar att de egentligen inte försöker så svårt att anmäla utvecklare, och det är bara att göra ett spektakel på WordPress forum om deras förmåga att hitta sårbarheter som en del av några missriktade reklamjippo för en kommersiell WordPress plugin säkerhet som de förvaltar.
Av uppenbara skäl, Plugin Sårbarheter laget är inte särskilt omtyckt i WordPress samfundet just nu.
Mer sårbarhet rapporter:
Microsofts juni 2019 Patch tisdag löser många av SandboxEscaper noll-daysDiebold Nixdorf varnar kunder för RCE bugg i äldre Uttagsautomater
Yubico för att ersätta utsatta YubiKey FIPS säkerhet keysMajor HSM sårbarheter inverkan banker, moln leverantörer, regeringar’RAMBleed’ Rowhammer attack nu kan stjäla data, inte bara ändra itMicrosoft block BLE säkerhet nycklar med kända ihopkoppling vulnerabilityKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter