Irked研究员披露Facebook WordPress插件缺陷

  • A+
所属分类:未分类

Plugin Vulnerabilities的研究人员引用怨恨,不负责任地披露Facebook的两个WordPress插件中的漏洞。

UPDATE

一位WordPress安全研究人员声称,他已经发现了两款由Facebook开发的WordPress插件,名为Facebook,用于WooCommerce和Messenger客户聊天。 研究人员声称两者都有跨站点请求伪造缺陷。 研究人员在Plugin Vulnerabilities网站上发布了这些漏洞,披露了通知供应商所谓的是对WordPress支持论坛版主的抗议之前的缺陷。

据该公司称,这两款由Facebook开发的插件被广泛使用。 Messenger客户聊天 ,安装了200,000个,允许客户将Facebook的聊天工具集成到他们的WordPress网站上,与客户进行互动。 面向WooCommerceFacebook拥有20,000次安装,允许用户将他们的WooCommerce产品连接到Facebook。

由于研究人员没有负责任地披露插件并允许在披露之前向受影响的网站提供补丁,因此Threatpost将限制与研究人员报告相关的信息和链接。 在修补程序可用之前,这并不是研究人员第一次报告WordPress插件中的缺陷。 随后,研究人员和插件漏洞一直是对信息安全领域批评的闪电。

Plugin Vulnerabilities周一通过其网站和Twitter账户公布了这些漏洞。 Facebook已经证实,已经在Threatpost的电子邮件中发布了针对错误的修复程序。

“我们致力于Messenger社区的安全性,最近修复了影响WordPress上两个聊天插件的小错误,”Facebook发言人周二告诉Threatpost。 “我们不知道有任何人受到这个漏洞的影响,我们非常感谢安全研究社区为帮助保持Messenger安全所做的努力。 我们的首要任务是为Messenger上的人们创造最佳体验。“

缺陷

插件漏洞周一声称这两个插件缺少可防止跨站点请求伪造(CSRF / XSRF)攻击的检查。 它还声称Messenger Customer Chat缺少一项功能检查,该功能检查限制了哪些类型的用户可以访问它。

跨站点请求伪造是一种利用HTTP协议的攻击。 例如,当打开基于Web的应用程序时,可以强制目标执行不需要的操作(更改其电子邮件,转移资金等),从而允许伪造者根据自己的优势操纵该过程。

在Messenger客户聊天方面,“由于清理,此漏洞可能导致的内容仅限于禁用插件的功能或在网站页面上放置消息,因为选项的值位于底部前端页面,“据该公司称。

Facebook的WooCommerce也被发现缺少防止CSRF条件所需的nonce。 根据插件存储库指南的Facebook for WooCommerce的页面,该插件还没有使用最新的三个主要版本的WordPress进行测试,根据插件漏洞。

“它可能不再被维护或支持,并且在与更新版本的WordPress一起使用时可能会出现兼容性问题,”该页面称。

不负责任的披露

插件漏洞因处理有关插件漏洞的披露而受到强烈反对 该网站发布了插件的披露和概念证明,如WooCommerce Checkout Manager扩展黄铅笔插件社交战以及Yuzo相关帖子 - 其中许多在披露概念证据和漏洞后不久就被积极利用。

Plugin Vulnerabilities在其网站上表示,它正在披露这些漏洞,以抗议WordPress支持论坛主持人的“持续不当行为”。

“由于WordPress支持论坛持续不当行为的主持人,我们完全披露了抗议中的漏洞,直到WordPress清理了这种情况,因此我们发布这篇文章,然后通过WordPress支持论坛为开发人员留下相关信息, “根据Plugin Vulnerabilities”的帖子。

“希望主持人最终会看到光明,并尽快清理他们的行为,因此将不再需要这些完整的披露(我们希望他们很快就会结束),”据该帖说。 “你会认为他们已经做到了这一点,但考虑到他们认为拥有数百万次安装的插件仍保留在插件目录中,尽管他们知道他们是易受攻击的”适当的行动“,但他们有些不妥。更需要清理温和的原因。)“

这些策略引起了批评。 最近的一篇媒体文章概述了该网站的行为是如何“严重破坏WordPress生态系统的安全性”。

“由于pluginvulnerabilities.com不同意WordPress支持论坛的规则,他们的假帐户被禁止,他们决定开始勒索WordPress.org,”该帖子称。 “他们要求WordPress.org”清理审核“,否则他们将继续破坏WordPress生态系统的安全性,向黑客透露插件安全漏洞,而不是首先与开发人员联系。”

WordPress.org插件目录(这是一个独立于论坛版主的团队)的插件审核小组的发言人告诉Threatpost,插件漏洞通过在论坛中发布零天来打破支持论坛的政策。

“他们被告知不要在这里给我们发电子邮件,因此我们可以直接与开发人员联系,”发言人告诉Threatpost。 “无论出于何种原因,他们决定继续发布0天而不试图私下联系插件开发人员。 他们似乎将插件审核小组的行动(与开发人员联系并解决问题)与论坛团队的行动(从论坛中移除0天)混为一谈。“

发言人说:“我们并不认为在确保每一个可能的漏洞都得到解决方面是完美的,但我们当然会尽力而为:/它们并不容易实现。”

这个故事于6月18日更新,Facebook评论。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: