在 WordPress.org 上托管的插件中未公开和未修补的漏洞不断累积后,Patchstack 已向 WordPress 插件审核团队报告了 404 个插件。
Patchstack 研究员 Darius Sveikauskas 表示:“这种情况给 WordPress 社区带来了重大风险,我们决定采取行动。” “由于无法联系到这些开发人员,我们将 404 漏洞的完整列表发送给插件审核团队进行处理。”文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
通常,在 Patchstack 无法找到联系供应商的方法后,向 WordPress.org 报告插件是遇到困难的情况下的最后手段。在这种情况下,许多插件作者在其扩展中包含零联系信息,或者不响应通信尝试。Patchstack 将其描述为“僵尸插件流行病”,因为大量废弃插件影响了超过 160 万个网站。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
WordPress.org 插件团队已根据该报告采取行动,关闭了超过 70% 的插件。六月,该团队 增加了六名新的赞助志愿者 ,并为更多团队成员开放了申请,但一直在努力管理大量积压的等待审核的插件。积压的插件数量不断攀升,目前已超过 1,119 个插件,等待时间为 71 天。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
添加插件漏洞问题(数百个必须关闭)只会增加开发人员等待新插件审核的时间。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
截至 2023 年 8 月 31 日,Patchstack 向 WordPress.org 报告与这些报告相关的以下统计数据:文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
- 404个漏洞
- 358 个插件受影响
- 289 个插件 (71,53%) – 已关闭
- 109 个插件 (26,98%) – 已修补
- 6 个插件 (1,49%) – 未关闭/未修补
- 多达 160 万个活跃安装受到影响
- 每个插件的平均安装量 4984
- 最高安装次数 100000(两个插件)
- 最高CVSS 9.1
- 平均CVSS 5.8
- “最旧的”插件 – 自上次更新以来已有 13 年
Patchstack 敦促开发人员将他们的联系方式添加到插件的 readme.txt 和/或 SECURITY.md 文件中。为了简化安全问题管理,该公司创建了 Patchstack mVDP(托管漏洞披露计划) 项目,开发人员可以免费加入。Patchstack 验证收到的报告,奖励研究人员,并将其传递给供应商进行处理。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
该公司还提倡在出于安全原因删除插件或主题时发出仪表板警报,因为 WordPress 目前不向用户提供此信息。他们的研究人员很快将提交更多报告,这可能会导致关闭扩展。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
“我们正在为 WordPress.org 主题存储库和专注于优质产品的存储库准备更多类似的列表,”Sveikauskas 说。“我们目前正在处理大约 200 多个类似漏洞。”文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html 文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/2585.html
评论