Een AMERIKAANSE cyber-security bedrijf heeft gepubliceerd details over twee zero-days die van invloed zijn twee van Facebook de officiële WordPress plugins.
De details ook zijn proof-of-concept (PoC) – code die het mogelijk maakt voor hackers om ambachtelijke uitbuitingen en aanvallen tegen websites met behulp van de twee plugins.
Beïnvloed plugins
De twee nul-dagen impact “Messenger Klant Chat,” een WordPress plugin die geeft een eigen Messenger chat-venster op WordPress-sites, en “Facebook voor WooCommerce,” een WordPress plugin die het mogelijk maakt WordPress site-eigenaren te uploaden van hun WooCommerce-based winkels op hun Facebook pagina ‘ s.
De eerste plugin is geïnstalleerd door meer dan 20.000 sites, terwijl de tweede heeft een userbase van 200.000, — met de statistieken van de exploderende sinds medio April, wanneer het WordPress team besloten om te beginnen met de verzending van de Facebook voor WooCommerce plug-in als onderdeel van de officiële WooCommerce online store plugin zelf.
Sindsdien is de plugin heeft vergaard een collectieve waardering van 1,5 ster, met de overgrote meerderheid van de recensenten klagen over fouten en een gebrek aan updates.
De wrok
Toch, ondanks de slechte reputatie, vandaag de dag, de veiligheid van alle gebruikers die de installatie van deze extensions is in gevaar brengen door een domme vete tussen een Denver-gebaseerd bedrijf genaamd White Fir Design LLC (dba Plugin Kwetsbaarheden), en het WordPress forum moderatie team.
In een geschil dat is al woedt al jaren, de Plugin Kwetsbaarheden team besloten ze zou het niet volgen van een verandering in het beleid op de WordPress.org forums die verboden gebruikers van openbaarmaking van veiligheidsproblemen door de forums, en in plaats daarvan verplicht beveiligingsonderzoekers e-mail het WordPress team, die vervolgens contact op met de plugin-eigenaren.
Voor de afgelopen jaren, de Plugin Kwetsbaarheden team is de openbaarmaking van beveiligingsfouten op het WordPress forum in weerwil van deze regel — en met haar forum rekeningen verboden zijn als gevolg van hun regel-breken van gedrag.
Dingen die escaleerde in het afgelopen voorjaar, wanneer de Plugin Kwetsbaarheden team besloten om hun protest een stap verder.
In plaats van het creëren van onderwerpen op de WordPress.org forums om gebruikers te waarschuwen over beveiligingsfouten, zijn ze ook begonnen met het publiceren van blogberichten op hun website met gedetailleerde informatie en PoC code over de kwetsbaarheden waren ze te vinden.
Ze bekendgemaakt beveiligingsfouten op deze manier voor WordPress plugins, zoals Easy WP SMTP, Yuzo Gerelateerde Berichten, Sociale Oorlogvoering, Geel Potlood Plugin, en WooCommerce Checkout Manager
Hackers snel gevangen, en veel van de details van de Plugin Kwetsbaarheden gepubliceerd op hun site zijn geïntegreerd in de actieve malware-campagnes, sommige van die leidde tot het compromis van een aantal mooie grote websites, langs de weg.
Niet dat gevaarlijke — maar nog steeds nul-dagen
Vandaag de dag, de Plugin Kwetsbaarheden team heeft nog steeds een spree van het laten vallen van zero-dagen in plaats van te werken met plug-auteurs te herstellen van de kwetsbaarheden.
Ze gepubliceerd details over twee cross-site request forgery (CSRF) fouten die invloed hebben op de twee eerder genoemde Facebook WordPress plugins.
De twee fouten toestaan geverifieerde gebruikers veranderen WordPress site opties. De kwetsbaarheden zijn niet zo gevaarlijk als die bleek eerder dit jaar, als ze een beetje social engineering indien een geregistreerde gebruiker klikken op een kwaadaardige link of een aanvaller erin slaagt om een account te registreren op een website die ze willen aanvallen. Ze kunnen worden moeilijker te exploiteren, maar ze doen aanvallers over te nemen sites.
Toch, net zoals vroeger, de Plugin Kwetsbaarheden team volledig genegeerd juiste cyber-security etiquette en gepubliceerd details op hun blog in plaats van contact opnemen met Facebook in privé te hebben de bugs opgelost.
Een bericht werd gepost op de WordPress.org forums, maar werd verwijderd volgens de site van het beleid.
In een toelichting van de vennootschap geplaatst op haar blog, Plugin Kwetsbaarheden probeerde te rechtvaardigen zijn cursus van actie door te beweren dat Facebook bug bounty ‘ programma is niet duidelijk of de vennootschap WordPress plugins zijn die in aanmerking komen voor beloningen, en probeerde pin de schuld op het sociale netwerk voor het beperken van de toegang tot het programma alleen voor gebruikers met een Facebook-account.
Hun excuses zijn dun, op zijn zachtst gezegd, als hun record van verleden toelichtingen blijkt dat ze niet echt het proberen dat moeilijk te melden ontwikkelaars, en het zijn slechts een spektakel op het WordPress forum over hun vermogen om kwetsbaarheden te vinden als onderdeel van sommige misleide marketing stunt voor een commerciële WordPress security plugin die zij beheert.
Voor de hand liggende redenen, de Plugin Kwetsbaarheden team is niet erg goed vond in de WordPress gemeenschap nu.
Meer kwetsbaarheid rapporten:
Microsoft juni 2019 Patch dinsdag lost veel van SandboxEscaper de nul-daysDiebold Nixdorf waarschuwt klanten van RCE bug in oudere Automaten
Yubico te vervangen kwetsbare YubiKey FIPS veiligheid keysMajor HSM kwetsbaarheden impact banken, cloud providers, overheden’RAMBleed’ Rowhammer aanval kan nu gegevens te stelen, niet alleen veranderen itMicrosoft blokken BLE beveiliging toetsen met bekende koppelen vulnerabilityKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters