專門尋找WordPress外掛程式漏洞的Plugin Vulnerabilities,本周揭露了兩個臉書WordPress外掛程式的零時差漏洞,還公布概念性驗證攻擊程式,由於Plugin Vulnerabilities事前並未通知臉書,違反了安全社群的責任揭露共識,因而再度惹人非議。

這兩個由臉書打造的WordPress外掛程式,分別是Facebook for WooCommerce與Messenger Customer Chat,前者可用來連結電子商務平台WooCommerce及臉書,安裝數量超過20萬;後者則是專門支援WordPress網站的Messenger通訊工具,約有2萬個WordPress網站安裝。

Plugin Vulnerabilities表示,Facebook for WooCommerce缺乏了預防跨站請求偽造(Cross-site Request Forgery,CSRF)的措施,使得駭客能夠發動CSFR攻擊;而Messenger Customer Chat除了也有同樣的CSRF漏洞之外,還缺少限制訪客存取的檢查能力,將允許駭客關閉外掛程式的功能或玷污網站首頁。

Plugin Vulnerabilities不只公布了漏洞細節,也公布相關漏洞的概念性驗證程式。但其實近來Plugin Vulnerabilities也曾發表其它WordPress外掛程式的零時差漏洞,為的只是跟WordPress支援論壇(WordPress Support Forum)賭氣。

Plugin Vulnerabilities批評WordPress支援論壇的版主胡亂刪除他的文章、聯手遮掩外掛程式的安全問題,只是WordPress支援論壇原本就禁止研究人員藉由該論壇公布安全漏洞,而是要求研究人員先以郵件通知WordPress團隊,再由WordPress團隊接洽外掛程式作者,而Plugin Vulnerabilities則無視禁令持續張貼漏洞消息,最後導致論壇帳號被封鎖。

為了抗議被封殺,Plugin Vulnerabilities選擇在自己的部落格上公布外掛程式的詳細漏洞資訊,還附帶了概念性驗證攻擊程式。

多數的科技媒體認為Plugin Vulnerabilities的作法並不恰當,不應只為了私人恩怨,就棄廣大WordPress用戶的安危而不顧。


Advertisement

更多 iThome相關內容