最近、Facebookで公式に配布された二つのWordPressのプラグインでゼロデイ脆弱性が発見され修正されました。 問題のプラグインは、「Messenger Customer Chat"と"WooCommerceのためのFacebook"にそれぞれ2万人20万人のユーザーが使用しています。

ワードプレスでは、 WordPress.orgポリシーを変更して、セキュリティの欠陥をフォーラムを通じて公開することを禁止してきました。 代わりにワードプレスのチームにメールを送って、セキュリティ欠陥を報告するワードプレスのチームで、プラグイン開発者に連絡して、問題を是正するようにします。

特定のプラグインのセキュリティの脆弱性を無分別に公開する場合、ハッカーによって悪用されることがありますので、これらのポリシーは、合理的なようです。 しかし、これらのポリシーに不満を抱いて、セキュリティ欠陥の詳細情報を公開する分別のないセキュリティの専門家や企業がまれですがあります。 特に、人気のあるプラグインのセキュリティ上の欠陥を無分別に公開する場合は、この脆弱性は、パッチされるまでの期間中に、プラグインを使用しているユーザーのサイトが危険になることでしょう。

ワードプレスハッキングバージョンのセキュリティ

セキュリティの脆弱性をフォーラムに公開しないようにするワードプレスの政策に不満を抱いてWhite Fir Design LLC(「Plugin Vulnerabilities」という名称で運営)というセキュリティ企業がコンセプトの証明(PoC)コードを含む、Facebookの両方のプラグインで発見されたセキュリティ上の欠陥についての詳細な情報を公開しました。

Plugin Vulnerabilitiesチームは、過去数年の間に規則に反して、ワードプレスフォーラムにセキュリティの脆弱性を公開している途中のフォーラムのアカウントが禁止されたとします。 しかし、このチームは、ワードプレスフォーラムで投稿(Topic)を作成して、セキュリティ上の欠陥をユーザーに警告する代わりの脆弱性に関する詳細な情報PoCコードを自分のサイトに掲載してあるが大きくなりました。

このメーカーは、このようにEasy WP SMTP、Yuzo Related Posts、Social Warfare、Yellow Pencil Plugin、WooCommerce Checkout Managerなどのワードプレスのプラグインで発見されたセキュリティ上の欠陥を公開しました。

Plugin Vulnerabilitiesチームのこれらの行動は、ワードプレスの生態系(エコシステム)のセキュリティを真剣に阻害する行為でワードプレスコミュニティから歓迎されずにいるようです。 次の記事では、この会社のこのような行動は、 非倫理的なマーケティングに起因したと指摘しています。

フェイスブックが作成されたプラグインで発見されたセキュリティ上の欠陥は、ある程度の社会工学的手法が必要となるため、あまり危険ではないとします。 実際にFacebook for WooCommerceプラグインは、(プラグインリポジトリから削除されず)の脆弱性が公開されてからしばらく経過した後に更新されました。 このプラグインは、右コマース公式ストアプラグインの一部として搭載され4月中旬からユーザー数が急増したが、プラグインのエラーがあり、更新プログラムが正しくされていなくてユーザーの評価が5.0満点に1.5で非常に低いです。

「Messenger Customer Chat」または「Facebook for WooCommerce」プラグインを使用している場合は、必ず最新のバージョンに更新してください。

注:

コメントを残す

コメントを入力してください!
名前を入力してください