被曝含 0day 漏洞的插件是 Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer,目前這兩個插件已下架,開發人員建議使用者盡快将涉及插件移除。
近日,有安全研究人員連續在 Plugin Vulnerabilities 平台上,對外公布了 3 個 WordPress 外挂程式的 0day 漏洞,将 10 萬個 WordPress 網站于陷于安全風險中。相關研究人員在公布這些漏洞時,提到他們隻是為了抗議 WordPress 支援論壇版(WordPress Support Forum)的版主行為。隻要版主停止不當行為,他們會立即終止對外揭露 0day 漏洞。
被揭露漏洞的 3 個 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。其中,Warfare 是個社交網站分享插件,有超過 6 萬個 WordPress 網站安裝了該插件。研究人員在 3 周前公布了 Social Warfare 的安全漏洞,插件開發人員即時将它修補了。
另外兩個插件就沒這麼幸運了。可用來自動找出相關文章的 Yuzo Related Posts 原本擁有 6 萬個安裝數量,可自定義主題的 Yellow Pencil Visual Theme Customizer 則有 3 萬個安裝數量,這兩個插件都都惹來了攻擊,目前已在 WordPress 插件商店下架,插件開發人員還建議使用者應盡快将所安裝的版本移除。
據了解,原本安全人員在公開漏洞前,會給開發者一定的緩沖時間。而這次漏洞曝光,研究人員故意不遵循責任揭露,直接對外公開這些 WordPress 插件漏洞。他們聲稱目的是為了抗議 WordPress 支援論壇版主的不當行為。這些版主明知有些熱門插件含有漏洞,卻未通知相關的開發人員。版主們甚至會聯手隐瞞插件的安全問題,為了推廣特定安全服務而阻攔使用者得到其它幫助。
這次漏洞接連曝光事件,看起來很像是 Plugin Vulnerabilities 平台與 WordPress 支援論壇之間的恩怨而引發的。前者不僅是為 WordPress 打造,定位更是專門對抗 WordPress 插件漏洞的服務。但不論如何,原本應該是維護 WordPress 安全的事件,目前卻已危及到了衆多 WordPress 網站的安全。
點選下方連結閱讀原文↓↓↓
「連結」
![WordPress 4.7.1 零日漏洞現身,分分鐘改掉你的網站内容[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)