En amerikansk-baseret it-sikkerhed, virksomheden har offentliggjort oplysninger om to nul-dage, der har indvirkning to af Facebook ‘ s officielle WordPress plugins.
Detaljer omfatter også et proof-of-concept (PoC) kode, der gør det muligt for hackere at håndværk udnytter og iværksætte angreb mod websteder, ved hjælp af de to plugins.
Påvirket plugins
De to nul-dage virkning “Messenger Kunde Chat,” en WordPress plugin, der viser en brugerdefineret Messenger chat vinduet på WordPress-sites, og “Facebook til WooCommerce,” en WordPress plugin, der giver mulighed WordPress site ejere til at uploade deres WooCommerce-baseret gemmer på deres Facebook sider.
Det første plugin er installeret af over 20.000 steder, mens den anden har en userbase på 200.000 — med sine statistikker eksploderet siden midten af April, når WordPress teamet besluttet at begynde shipping Facebook til WooCommerce plugin, som en del af den officielle WooCommerce online butik plugin sig selv.
Siden da, plugin har vundet en kollektiv bedømmelse af 1,5 stjerner, med langt størstedelen af anmelderne klager over fejl og manglende opdateringer.
The grudge
Ikke desto mindre, på trods af det dårlige ry, i dag, sikkerhed for alle brugere, som har installeret disse udvidelser blev bragt i fare på grund af en dum nag mellem en Denver-baserede selskab kaldet White Fir Design LLC (dba Plugin Sårbarheder), og WordPress forum team.
I en tvist, der er blevet rasende for år, Plugin Sårbarheder team besluttede at de ikke ville følge en ændring af politikken på WordPress.org fora, der blokerede brugere fra at afsløre sikkerhed fejl gennem fora, og i stedet skal sikkerhedseksperter e-mail WordPress teamet, som så ville kontakte plugin ejere.
For de seneste år, Plugin Sårbarheder holdet har været at afsløre sikkerhedsbrister på WordPress fora på trods af denne artikel — og som har sit forum konti forbudt som følge af deres regel-breaking adfærd.
Tingene eskalerede denne sidste forår, når Plugin Sårbarheder team besluttede at tage deres protest et skridt videre.
I stedet for at skabe emner, der er på WordPress.org fora til at advare brugerne om sikkerhed fejl, og de begyndte også at udgive blogindlæg på deres hjemmeside med detaljer og PoC kode om de sårbarheder, de var at finde.
De oplyses sikkerhedshuller i WordPress plugins, som Nemt WP SMTP, Yuzo Relaterede Stillinger, Sociale Krigsførelse, Gul Blyant Plugin, og WooCommerce Kassen Manager
Hackere hurtigt fanget på, og mange af de detaljer Plugin Sårbarheder offentliggjort på deres hjemmeside, blev integreret i det aktive malware kampagner, hvoraf nogle har ført til kompromis af nogle temmelig store websites, undervejs.
Ikke så farligt-men stadig nul-dage
I dag, Plugin Sårbarheder holdet har fortsat deres spree for at droppe nul-dage i stedet for at arbejde med plugin forfattere til at rette sårbarheder.
De offentliggjorde detaljer omkring to cross-site request forgery (CSRF) fejl, der påvirker de to førnævnte Facebook WordPress plugins.
De to fejl giver godkendte brugere mulighed for at ændre WordPress site muligheder. De sårbarheder der er ikke så farlige som dem, der afslørede tidligere i år, da de kræver en lille smule social engineering, hvor en registreret bruger klikker på et ondsindet link, eller en angriber formår at registrere en konto på et websted, hvor de ønsker at angribe. De kan være sværere at udnytte, men de gør det muligt for angribere at overtage sites.
Ikke desto mindre, ligesom før, Plugin Sårbarheder team fuldstændig ignoreret ordentlig cyber-sikkerhed etikette og offentliggjort oplysninger på deres blog, i stedet for at kontakte Facebook i private har bugs løst.
En besked, der blev sendt på WordPress.org fora, men som blev slettet i henhold til webstedets politik.
I en explainer virksomheden lagt ud på sin blog, Plugin Sårbarheder forsøgte at retfærdiggøre sin handling ved at hævde, at Facebook ‘ s bug bounty program er ikke klart, om selskabets WordPress plugins er berettiget til belønninger, og forsøgte at skyde skylden på de sociale netværk begrænsning af adgang til programmet kun for brugere med en Facebook konto.
Deres undskyldninger er spinkelt, for at sige det mildt, da deres registrering af seneste oplysninger viser, at de ikke er virkelig forsøger at svært at anmelde-udviklere, og er blot at lave en forestilling på WordPress fora om deres evne til at finde svagheder som en del af nogle vildledte marketing-stunt for en kommerciel WordPress sikkerhed plugin, de forvalter.
Af indlysende grunde, Plugin Sårbarheder team er ikke meget vellidt i WordPress samfund lige nu.
Mere sårbarhed rapporter:
Microsofts juni 2019 Patch tirsdag løser mange af SandboxEscaper er nul-daysDiebold Nixdorf advarer kunder af RCE fejl i ældre Pengeautomater
Yubico til at erstatte sårbare YubiKey FIPS sikkerhed keysMajor HSM sårbarheder indvirkning banker, cloud-leverandører, regeringer’RAMBleed’ Rowhammer angreb kan nu stjæle data, ikke bare ændre itMicrosoft blokke BLE sikkerhed nøgler med kendt parring vulnerabilityKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre