2个0day! 因心生不满暴露 Facebook 官方WordPress 插件的俩 0day 详情！

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

美国网络安全公司 White Fir Design LLC （即 Plugin Vulnerabilities 公司）公开了影响Facebook 两个官方 WordPress 插件的两个0day的详情。

详情中还包括PoC代码，可导致黑客构造利用并攻击这两个插件。

这两个0day 影响用于在 WordPress 站点上展示自定义通讯聊天窗口的 WordPress 插件Messenger Customer Chat和允许 WordPress 所有者在 Facebook 页面上上传 WooCommerce 商店的插件 Facebook for WooCommerce。超过2万个站点已安装第一个插件，而第二个插件的用户基数为20万人。自4月中旬即 WordPress 团队决定为Facebook 接入 WooCommerce 插件作为 WooCommerce 在线商店插件本身的一部分后，第二个插件的数据呈爆炸式增长。自此，该插件的总评分为15星，大多数评论抱怨出错和缺少更新的情况。

尽管名声不佳，而如今安装了这些扩展的所有用户的安全性都因为 Plugin Vulnerabilities 和 WordPress 论坛版主团队之间的恩怨而被置于风险之中。

二者之间的纠葛已存在数年之久。Plugin Vulnerabilites 团队决定不遵守 WordPress 团队关于禁止通过论坛披露安全缺陷、要求安全研究员为 WordPress 团队发送邮件且由后者联系插件所有人的策略变更。

几年来，Plugin Vulnerabilites 团队一直都在论坛上无视该规则继续披露安全缺陷，而且因为这种破坏规则的行为其账户遭禁言。

今年春天，随着 Plugin Vulnerabilities 团队决定进一步抗议这一策略，纠纷升级。该团队决定不在 WordPress 论坛上创建主题向用户发出安全缺陷警告，而是开始在自己的网站上公开自己找到的漏洞的详情和 PoC 代码。他们已经以这种方式暴露了多个 WordPress 插件漏洞，如 Easy WP SMTP、Yuzo Related Posts、Social Warfare、Yellow Pencil Plugin 和 WooCommerce Checkout Manager。

黑客很快跟进，而且该团队在网站上公布的很多详情都被集成到活跃的恶意软件攻击活动中，其中某些详情导致一些非常大型的公司遭攻陷。

当前，Plugin Vulnerabilites 团队还在释放 0day，而不是和插件作者一起修复漏洞。

他们公开了影响上文提到的两个 Facebook WordPress 插件的两个跨站点请求伪造漏洞。这两个漏洞可导致认证用户修改 WordPress 站点选项。这些漏洞的危险性并没有今年早些时候披露的那些漏洞严重，因为它们需要在注册用户点击恶意链接的地方进行一点社工，或者需要攻击者设法在想要攻击的网站上注册一个账户。虽然这两个漏洞难以利用但确认可导致攻击者接管站点。

不管怎样，和之前一样，Plugin Vulnerabilities 完全忽视了正确的网络安全礼仪并在博客上公开了漏洞详情，而非私下联系 Facebook 修复问题。

WordPress 论坛上出现了一条漏洞相关信息，不过根据站点策略已被删除。

Plugin Vulnerabilities 团队在博客上试图解释自己的行为是合理的，表示曾 Facebook 的漏洞奖励计划并未明确说明该公司的 WordPress 插件是否包含奖励计划内，并试图甩锅给 Facebook，指出后者的奖励计划仅对拥有 Facebook 账户的用户开放。

至少可以说，他们的借口是不可信的，因为从他们过往暴露漏洞的情况来看他们并未真正努力通知开发人员，只是在 WordPress 论坛上炫耀自己发现漏洞的能力，借此来为自己管理的商业 WordPress 安全插件营销造势。

很明显，这种行为在 WordPress 社区并不讨喜。

这两个 0day 具体情况可参见：https://www.pluginvulnerabilities.com/2019/06/17/facebooks-wordpress-plugin-messenger-customer-chat-contains-an-authenticated-settings-change-vulnerability/

原文链接

https://www.zdnet.com/article/disgruntled-security-firm-discloses-zero-days-in-facebooks-wordpress-plugins/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。