linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux基础建设 >

不满支持论坛,安全人员连续公布三个WordPress插件漏洞

时间:2019-04-18  来源:未知  作者:admin666

被曝含 0day 漏洞的插件是 Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer,目前这两个插件已下架,开发人员建议用户尽快将涉及插件移除。

近日,有安全研究人员连续在 Plugin Vulnerabilities 平台上,对外公布了 3 个 WordPress 外挂程式的 0day 漏洞,将 10 万个 WordPress 网站于陷于安全风险中。相关研究人员在公布这些漏洞时,提到他们只是为了抗议 WordPress 支持论坛版(WordPress Support Forum)的版主行为。只要版主停止不当行为,他们会立即终止对外揭露 0day 漏洞。

被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Pos棋牌游戏代理ts 和 Yellow Pencil Visual Theme Customizer。其中,Warfare 是个社交网站分享插件,有超过 6 万个 WordPress 网站安装了该插件。研究人员在 3 周前公布了 Social Warfare 的安全漏洞,插件开发人员即时将它修补了。

另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量,可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量,这两个插件都都惹来了攻击,目前已在 WordPress 插件商店下架,插件开发人员还建议用户应尽快将所安装的版本移除。

据了解,原本安全人员在公开漏洞前,会给开发者一定的缓冲时间。而这次漏洞曝光,研究人员故意不遵循责任揭露,直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞,却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题,为了推广特定安全服务而阻拦用户得到其它帮助。

这次漏洞接连曝光事件,看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造,定位更是专门对抗 WordPress 插件漏洞的服务。但不论如何,原本应该是维护 WordPress 安全的事件,目前却已危及到了众多 WordPress 网站的安全。

友情链接
  • GStreamer 1.16 RC1发布,支持WebKit WPE源元素
  • 调查显示:机器学习/数据科学推动Python超越Java
  • Fedora 30正在接近最终版,但首先它有一些bug需要解决
  • Unigine Superposition 1.1 发布,增加Linux SteamVR支持
  • Dolphin和其他KDE实用程序开始在Linux上显示文件创建时间
  • Unity 2019.1 发布,Linux 与 Vulkan改进
  • Apache Flink 1.8.0 发布,提供最终的状态模式演化支持
  • Wine
  • 如何在Ubuntu 18.04及更高版本中安装经典Gnome应用程序菜单
  • Nouveau开发人员致力于OpenGL扩展以帮助逆向工程
  • 华为重新开始开发新的 EROFS 的 Linux 只读文件系统
  • Mesa 19.1将在两周内进入功能冻结,5月21日左右发布
  • Wayland正在开发一种颜色管理器校准协议
  • Ant Design 3.16.3 发布,企业级UI设计语言
  • DXVK 1.0.3 发布,用于转换Direct3D 10/11调用
  • Debian 10 “Buster”目前大约有150个关键的bug
  • Systemd支持MACsec以更好地保护以太网连接
  • CentOS庆祝15岁生日,为CentOS 8.0发布做准备
  • 游戏引擎Godot从Mozilla开源支持计划获得5万美元的奖励
  • Chrome OS 75在Linux应用程序中有完整的USB支持
  • Debian 10 Buster的安装程序达到RC阶段
  • Google Chrome 将添加可滚动选项卡功能
  • Reiser4引入了Linux 5.0内核
  • Kodi 18.2 'Leia' RC 发布,改进的PVR后端客户端
  • Linux Kernel 5.1 RC5发布,合理的bug/回归修复
  • MoltenVK现在支持macOS上的Vulkan Tessellation等功能
  • Qt Creator 4.9 发布,扩展的语言服务器协议支持
  • openSUSE的Spectre缓解方法是其性能下降的原因之一
  • Blender 2.80应该会在7月份发布
  • Oracle 11.2.0.4 awr过期快照无法自动清理解决
  • MySQL视图基本操作
  • Ubuntu环境使用TPC
  • MySQL自定义函数与存储过程示例
  • MySQL事务隔离级别浅析
  • Oracle死锁案例分析
  • Red Hat宣布新的红帽认证工程师计划
  • k7娱乐
  • 新不夜城 首页
  • 白小姐季刊
  • 澳门赌博广水信息
  • 易博
  • 棋游戏