三个0day漏洞的WordPress插件突然公布 10 万网站有安全风险

  • A+
所属分类:网络安全

三个0day漏洞的WordPress插件突然公布 10 万网站有安全风险

近日,有安全研究人员连续在 Plugin Vulnerabilities 平台上,对外公布了 3 个 wordpress 外挂程式的 0day 漏洞,将 10 万个 WordPress 网站陷于安全风险中。

相关研究人员在公布这些漏洞时,提到他们只是为了抗议 WordPress 支持论坛版(WordPress Support Forum)的版主行为只要版主停止不当行为,他们会立即终止对外揭露 0day 漏洞。

目前被曝含有 0day 漏洞的插件 Yuzo Related PostsYellow Pencil Visual Theme Customizer已下架,开发人员建议用户尽快将涉及插件移除。

被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。

其中,Warfare 是个社交网站分享插件,有超过 6 万个 WordPress 网站安装了该插件,插件开发人员即时将它修补了。

另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量,可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量,这两个插件都都惹来了攻击,目前已在 WordPress 插件商店下架,插件开发人员还建议用户应尽快将所安装的版本移除。

据了解,原本安全人员在公开漏洞前,会给开发者一定的缓冲时间。而这次漏洞曝光,研究人员故意不遵循责任揭露,直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞,却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题,为了推广特定安全服务而阻拦用户得到其它帮助。

这次漏洞接连曝光事件,看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造,定位更是专门对抗 WordPress 插件漏洞的服务。

但不论如何,原本应该是维护 WordPress 安全的事件,目前却已危及到了众多 WordPress 网站的安全。

河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管19年,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。 服务热线:400-723-6868 服务器/云主机 24小时售后服务电话:0371-60135900 虚拟主机/智能建站 24小时售后服务电话:0371-55621053
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: