心怀不满的安全公司在Facebook的WordPress插件中披露零日

互联网2020-08-31 18:53:43
导读一家总部位于美国的网络安全公司已经公布了两个零日的详细信息,这些零日影响了Facebook的两个官方WordPress插件。细节还包括概念验证(

一家总部位于美国的网络安全公司已经公布了两个零日的详细信息,这些零日影响了Facebook的两个官方WordPress插件。

细节还包括概念验证(PoC)代码,允许黑客利用这两个插件制作攻击并对网站发起攻击。

受影响的插件

两个零日影响“ Messenger客户聊天 ”,一个WordPress插件,显示WordPress网站上的自定义Messenger聊天窗口,以及“ Facebook for WooCommerce ”,一个WordPress插件,允许WordPress网站所有者上传他们的基于WooCommerce的商店Facebook页面。

第一个插件由超过20,000个站点安装,而第二个插件的用户群为200,000 - 自4月中旬以来,当WordPress团队决定开始发布Facebook for WooCommerce插件作为官方WooCommerce在线商店插件的一部分时,其统计数据爆炸式增长本身。

从那时起,该插件已获得1.5星的集体评级,绝大多数评论者抱怨错误和缺乏更新。

怨恨

然而,尽管名声不好,但今天安装这些扩展的所有用户的安全性都因为一家名为White Fir Design LLC(dba Plugin Vulnerabilities)的丹佛公司和WordPress论坛审核小组之间的愚蠢怨恨而面临风险。 。

在多年来一直肆虐的争议中,插件漏洞团队决定不会在WordPress.org论坛上遵循政策更改,禁止用户通过论坛泄露安全漏洞,而是要求安全研究人员通过电子邮件发送WordPress团队,然后会联系插件所有者。

在过去几年中,插件漏洞团队一直在WordPress论坛上披露安全漏洞,尽管有这个规则 - 并且由于他们的规则破坏行为而禁止其论坛帐户。

今年春天,当Plugin Vulnerabilities团队决定将他们的抗议更进一步时,事情升级了。

他们还没有在WordPress.org论坛上创建主题来警告用户安全漏洞,而是开始在他们的网站上发布博客文章,其中包含有关他们发现的漏洞的深入细节和PoC代码。

他们以这种方式为WordPress插件披露了安全漏洞,例如Easy WP SMTP,Yuzo相关帖子,社交战,黄铅笔插件和WooCommerce Checkout Manager

黑客很快就流行起来,插件漏洞在其网站上发布的许多细节都被整合到了活跃的恶意软件活动中,其中一些活动导致了一些相当大的网站的妥协。

没那么危险 - 但仍然是零天

今天,插件漏洞团队继续疯狂地放弃零日,而不是与插件作者合作来修复漏洞。

他们发布了两个影响上述两个Facebook WordPress插件的跨站点请求伪造(CSRF)漏洞的详细信息。

这两个漏洞允许经过身份验证的用户更改WordPress站点选项。这些漏洞并不像今年早些时候透露的漏洞那样危险,因为它们需要一些社交工程,注册用户点击恶意链接,或者攻击者设法在他们想要攻击的网站上注册帐户。它们可能更难利用,但它们确实允许攻击者接管网站。

尽管如此,就像以前一样,Plugin Vulnerabilities团队完全忽略了正确的网络安全礼仪并在他们的博客上发布了详细信息,而不是私下联系Facebook以解决问题。

在WordPress.org论坛上发布了一条消息,但是根据网站的政策删除了该消息。

该公司在其博客上发布了解释说,Plugin Vulnerabilities试图通过声称Facebook的错误赏金计划不清楚该公司的WordPress插件是否有资格获得奖励,并试图将其归咎于社交网络限制只有拥有Facebook帐户的用户才能访问该程序。

至少可以说,他们的借口是脆弱的,因为他们过去披露的记录显示他们并没有真正努力通知开发人员,而只是在WordPress论坛上发表关于他们发现漏洞的能力的一些奇观,作为一些被误导的一部分他们正在管理的商业WordPress安全插件的营销特技。

出于显而易见的原因,Plugin Vulnerabilities团队目前在WordPress社区中并不受欢迎。

免责声明:本文由用户上传,如有侵权请联系删除!