최근 Facebookで正式に配布した二つの WordPress プラグインでゼロデイセキュリティの脆弱性が発見され修正されました。 問題のプラグインは「Messenger Customer Chat「と」WooCommerceのためのFacebook「それぞれ2万人と20万人のユーザーが使用しています。
WordPressは WordPress.orgポリシーを変更して、セキュリティの欠陥をフォーラムを通じて公開することを禁止してきました。 代わりに WordPress チームに電子メールを送り、セキュリティ欠陥を報告する WordPress チームでのプラグイン開発者に連絡して、問題を是正するようにします。
特定のプラグインのセキュリティの脆弱性を無分別に公開する場合、ハッカーによって悪用されることがありますので、これらのポリシーは、合理的なようです。 しかし、これらのポリシーに不満を抱いて、セキュリティ欠陥の詳細情報を公開する分別のないセキュリティの専門家や企業がまれですがあります。 特に、人気のあるプラグインのセキュリティ上の欠陥を無分別に公開する場合は、この脆弱性は、パッチされるまでの期間中に、プラグインを使用しているユーザーのサイトが危険になることでしょう。
セキュリティの脆弱性をフォーラムに公開しないようにする WordPressの方針に不満を抱くWhite Fir Design LLC(」Plugin 「Vulnerabilities」という名称で運営)というセキュリティ企業が概念証明(PoC)コードを含む Facebookの両方のプラグインで発見されたセキュリティ上の欠陥についての詳細な情報を公開しました。
Plugin Vulnerabilitiesチームは過去数年間のルールに反して WordPress フォーラムにセキュリティの脆弱性を公開している途中のフォーラムのアカウントが禁止されたとします。 しかし、このチームは WordPress フォーラムで投稿(Topic)を作成して、セキュリティ上の欠陥をユーザーに警告する代わりの脆弱性に関する詳細な情報PoCコードを自分のサイトに掲載してあるが大きくなりました。
この会社はこのようにEasy WP SMTP、Yuzo Related Posts、Social Warfare、Yellow Pencil Plugin、WooCommerce Checkout Managerなど WordPress プラグインで発見されたセキュリティ上の欠陥を公開しました。
- Easy WP SMTPでゼロデイ脆弱性を発見
- Yellow Pencil Visual Theme Customizerプラグインのゼロデイ脆弱性の悪用が増加
- WooCommerce Checkout Managerプラグインの脆弱性を発見
Plugin Vulnerabilitiesチームのこれらの行動は、 WordPress 生態系(エコシステム)のセキュリティを真剣に阻害する行為で WordPress コミュニティで歓迎されずにいるようです。 次の記事では、この会社のこのような行動は、 非倫理的なマーケティングに起因したと指摘しています。
Facebookこの作成されたプラグインで発見されたセキュリティ上の欠陥は、ある程度の社会工学的手法が必要となるため、あまり危険ではないとします。 実際にFacebook for WooCommerceプラグインは、(プラグインリポジトリから削除されず)の脆弱性が公開されてからしばらく経過した後に更新されました。 このプラグインは、 WooCommerce 公式ストアプラグインの一部として搭載され、4月中旬からユーザー数が急増したが、プラグインのエラーがあり、更新プログラムが正しくされていなくてユーザーの評価が5.0満点で1.5と非常に低いです。
「Messenger Customer Chat」または「Facebook for WooCommerce」プラグインを使用している場合は、必ず最新バージョンにアップデートしてください。
コメントを残す