A cyber-società di sicurezza ha pubblicato i dettagli circa due zero-giorni che hanno un impatto due di Facebook ufficiale del plugin di WordPress.
I dettagli includono anche proof-of-concept (PoC) del codice, che consente agli hacker di mestiere exploit e lanciare attacchi contro i siti che utilizzano i due plugin.
Impatto plugin
Il due a zero giorni di impatto “Messaggero Cliente Chat”, un plugin per WordPress che mostra Messenger personalizzati finestra di chat su siti WordPress, e “Facebook per WooCommerce,” un plugin per WordPress che permette di WordPress proprietari del sito per caricare le loro WooCommerce a base di negozi sul loro Facebook pagine.
Il primo plugin è installato da oltre 20.000 siti, mentre il secondo ha una userbase di 200.000 — con le sue statistiche che esplode dalla metà di aprile, quando il team di WordPress ha deciso di iniziare la spedizione Facebook per WooCommerce plugin ufficiale per WooCommerce negozio online plugin stesso.
Da allora, il plugin ha raccolto una collettiva di rating di 1.5 stelle, con la maggior parte dei recensori che lamentano errori e la mancanza di aggiornamenti.
Il rancore
Tuttavia, nonostante la cattiva reputazione, oggi, la sicurezza di tutti gli utenti che hanno installato queste estensioni è stato messo a rischio a causa di uno stupido rancore tra Denver-la società Abete Bianco Design LLC dba (Plugin Vulnerabilità), e WordPress forum team di moderazione.
In una controversia che dura da anni, il Plugin di Vulnerabilità, il team ha deciso di non seguire un cambiamento della politica sulla WordPress.org forum di utenti esclusi dall’obbligo di comunicare le falle di sicurezza attraverso il forum, e invece i ricercatori di sicurezza di e-mail team di WordPress, che sarebbe poi il contatto plugin proprietari.
Negli ultimi anni, il Plugin Vulnerabilità squadra è stata la divulgazione di falle di sicurezza su forum di WordPress nonostante questa regola, dopo aver ricevuto il suo forum account bannato come risultato della loro regola di rottura di comportamento.
Le cose escalation la scorsa primavera quando il Plugin di Vulnerabilità, il team ha deciso di prendere la loro protesta un ulteriore passo in avanti.
Invece di creare argomenti su WordPress.org forum per avvisare gli utenti circa le falle di sicurezza, hanno anche cominciato a pubblicare i post del blog sul loro sito con approfondimenti e PoC codice sulle vulnerabilità che stavano trovando.
Essi comunicati falle di sicurezza in questo modo per WordPress plugins e Facile WP SMTP, Yuzo Post Correlati, lotte Sociali, Matita Gialla Plugin, e WooCommerce Checkout Manager
Gli hacker rapidamente preso piede, e molti dei dettagli che il Plugin Vulnerabilità pubblicato sul loro sito sono state integrate in active campagne di malware, alcuni dei quali ha portato alla compromissione di alcuni piuttosto grandi siti, lungo la strada.
Non che pericoloso, ma ancora zero giorni
Oggi, il Plugin Vulnerabilità squadra ha continuato la loro baldoria di cadere zero-giorni invece di lavorare con il plugin autori per risolvere la vulnerabilità.
Hanno pubblicato i dettagli su due cross-site request forgery (CSRF), con un impatto le due citate Facebook plugin di WordPress.
I due difetti consentire agli utenti autenticati di alterare sito WordPress opzioni. Le vulnerabilità non sono così pericolosi come quelli rivelato all’inizio di quest’anno, in quanto richiedono un po ‘ di ingegneria sociale in cui un utente registrato clicca su un collegamento dannoso, o a un utente malintenzionato riesce a registrare un account su un sito web che vuoi attaccare. Si potrebbe essere più difficile da sfruttare, ma non consente agli aggressori di prendere sui siti.
Tuttavia, proprio come prima, il Plugin Vulnerabilità squadra completamente ignorato adeguato livello di sicurezza informatica galateo e pubblicati i dettagli sul proprio blog, invece di rivolgersi Facebook in privato per avere i bug risolti.
Un messaggio è stato pubblicato sul WordPress.org forum, ma è stata eliminata secondo le regole del sito.
In un spiegatore l’azienda ha pubblicato sul suo blog, Plugin Vulnerabilità cercato di giustificare il suo corso di azione sostenendo Facebook bug bounty program non è chiaro se la società plugin di WordPress sono ammissibili per i premi, e ha cercato di pin la colpa ai social network per limitare l’accesso al programma solo per gli utenti di Facebook account.
Le loro scuse, sono fragile, per non dire altro, come il loro record di passato informativa mostra non sono veramente cercando difficile informare gli sviluppatori, e non sono altro che fare uno spettacolo sul forum di WordPress circa la loro capacità di trovare le vulnerabilità come parte di qualche incauto trovata pubblicitaria per commerciale WordPress plug-in di protezione sono in corso di gestione.
Per ovvie ragioni, il Plugin Vulnerabilità squadra non è molto apprezzato nella comunità di WordPress adesso.
Più vulnerabilità di report:
Microsoft giugno 2019 il martedì delle Patch che risolve molti di SandboxEscaper zero daysDiebold Nixdorf avverte i clienti di RCE bug nei vecchi Bancomat
Yubico per sostituire vulnerabili YubiKey FIPS sicurezza keysMajor HSM vulnerabilità impatto banche, fornitori di servizi cloud, i governi’RAMBleed’ Rowhammer attacco ora possibile rubare i dati, non solo alterare itMicrosoft blocchi BLE chiavi di sicurezza con nota associazione vulnerabilityKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati