Patchstack 向 WordPress.org 插件团队报告影响 160 万多个网站的 404 个漏洞

在 WordPress.org 上托管的插件中未公开和未修补的漏洞不断累积后,Patchstack 已向 WordPress 插件审核团队报告了 404 个插件。

Patchstack 研究员 Darius Sveikauskas 表示:“这种情况给 WordPress 社区带来了重大风险,我们决定采取行动。” “由于无法联系到这些开发人员,我们将 404 漏洞的完整列表发送给插件审核团队进行处理。”

通常,在 Patchstack 无法找到联系供应商的方法后,向 WordPress.org 报告插件是遇到困难的情况下的最后手段。在这种情况下,许多插件作者在其扩展中包含零联系信息,或者不响应通信尝试。Patchstack 将其描述为“僵尸插件流行病”,因为大量废弃插件影响了超过 160 万个网站。

WordPress.org 插件团队已根据该报告采取行动,关闭了超过 70% 的插件。六月,该团队 增加了六名新的赞助志愿者 ,并为更多团队成员开放了申请,但一直在努力管理大量积压的等待审核的插件。积压的插件数量不断攀升,目前已超过 1,119 个插件,等待时间为 71 天。

添加插件漏洞问题(数百个必须关闭)只会增加开发人员等待新插件审核的时间。

截至 2023 年 8 月 31 日,Patchstack 向 WordPress.org 报告与这些报告相关的以下统计数据:

  • 404个漏洞
  • 358 个插件受影响
  • 289 个插件 (71,53%) – 已关闭
  • 109 个插件 (26,98%) – 已修补
  • 6 个插件 (1,49%) – 未关闭/未修补
  • 多达 160 万个活跃安装受到影响
  • 每个插件的平均安装量 4984
  • 最高安装次数 100000(两个插件)
  • 最高CVSS 9.1
  • 平均CVSS 5.8
  • “最旧的”插件 – 自上次更新以来已有 13 年

Patchstack 敦促开发人员将他们的联系方式添加到插件的 readme.txt 和/或 SECURITY.md 文件中。为了简化安全问题管理,该公司创建了 Patchstack  mVDP(托管漏洞披露计划) 项目,开发人员可以免费加入。Patchstack 验证收到的报告,奖励研究人员,并将其传递给供应商进行处理。

该公司还提倡在出于安全原因删除插件或主题时发出仪表板警报,因为 WordPress 目前不向用户提供此信息。他们的研究人员很快将提交更多报告,这可能会导致关闭扩展。

“我们正在为 WordPress.org 主题存储库和专注于优质产品的存储库准备更多类似的列表,”Sveikauskas 说。“我们目前正在处理大约 200 多个类似漏洞。”

原文连接

欢迎关注WordPress大学公众号 WPDAXUE
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索