圖片來源: 

wordpress

有安全研究人員最近連續藉由Plugin Vulnerabilities平台,對外公布了3個WordPress外掛程式的零時差漏洞,陷逾10萬個WordPress網站於安全風險中,而相關研究人員在公布這些漏洞時,提及他們只是為了抗議WordPress支援論壇版的版主行為,只要版主停止不當行為,他們也會立即終止對外揭露零時差漏洞。

無端受到池魚之殃的3個WordPress外掛程式分別是Social Warfare、 Yuzo Related PostsYellow Pencil Visual Theme Customizer,其中,Social Warfare是個社交網站分享外掛程式,有超過6萬個WordPress網站安裝了該外掛,研究人員在3周前公布了Social Warfare的安全漏洞,幸好開發人員即時修補了它。

但之後又被踢爆含有零時差漏洞的Yuzo Related Posts及Yellow Pencil Visual Theme Customizer就沒這麼幸運了,可用來自動找出相關文章的Yuzo Related Posts原本擁有6萬個安裝數量,可客製化主題的Yellow Pencil Visual Theme Customizer則有3萬個安裝數量,由於已經惹來了攻擊,都已自 WordPress外掛程式商店下架,且開發人員還建議用戶應儘快將所安裝的版本移除。

研究人員是故意不遵循責任揭露,而逕自對外公開這些WordPress外掛程式漏洞的,目的是為了抗議WordPress支援論壇(WordPress Support Forum)各版主的不當行為,例如這些版主明知有些熱門外掛程式含有漏洞,卻未通知相關的開發人員,或者是版主們聯手遮掩外掛程式的安全問題,更抨擊版主為了推廣特定安全服務而阻攔用戶得到其它幫助。

這看起來很像是Plugin Vulnerabilities平台與WordPress支援論壇之間的恩怨而引發的,前者不僅是以WordPress打造,更定位為專門對抗WordPress外掛程式漏洞的服務,明顯也是WordPress粉絲,但不論如何都已危及眾多WordPress網站的安全。


Advertisement

更多 iThome相關內容