WordPress.org推出了強制更新 登錄程序 插件,活躍在超過一百萬個網站上。 該插件在其免費版本中提供了暴力保護,並在其商業升級中提供了其他安全功能,例如兩因素身份驗證,reCAPTCHA和PasswordLess登錄。
上周安全研究員Slavco Mihajloski 發現 他向插件作者披露了一個未經身份驗證的SQL注入漏洞和一個XSS漏洞。 Loginizer版本1.6.4於2020年10月16日發布,其中包含針對兩個問題的補丁,總結在插件的博客上:
1) [Security Fix] :用於登錄的精心設計的用戶名可能導致SQL注入。 此問題已通過使用PHP中的prepare函數修復了,該函數準備SQL查詢以安全執行。
2) [Security Fix] :如果將IP HTTP標頭修改為具有空位元組,則可能導致存儲XSS。 在使用IP HTTP標頭之前,請先對其進行適當的清理以解決此問題。
為了讓用戶有時間升級,Loginizer直到今天才披露此漏洞。 考慮到該漏洞的嚴重性,WordPress.org的插件團隊將安全更新發布到了在WordPress 3.7+上運行Loginizer的所有站點。
2020年7月,Loginizer 被Softaculous收購,因此該公司還能夠通過使用Softaculous創建的Loginizer自動升級任何WordPress安裝。 這項工作與WordPress.org的更新相結合,涵蓋了Loginizer的很大一部分用戶群。
自動更新使某些插件用戶感到驚訝,因為他們自己沒有啟動該插件,也未激活插件的自動更新。 經過幾個用戶 已發布 在插件的支持論壇上,插件團隊成員Samuel Wood說:「 WordPress.org能夠針對插件中的安全性問題啟用自動更新」,並且已經多次使用了此功能。
米哈伊洛斯基(Mihajloski) 已發表 今天早些時候在他的博客上有更詳細的概念驗證。 他還著重指出了有關WordPress已有系統的一些問題,這些系統使這種嚴重的漏洞無法通過。 他聲稱,由於插件未使用prepare函數來安全執行SQL查詢,因此插件審查小組可以輕鬆解決此問題。 Mihajloski還建議對官方目錄中的插件進行定期代碼審核。
「當插件進入存儲庫時,必須對其進行審核,但是何時再次對其進行審核?」 Mihajloski說。 「每個人都從0次主動安裝開始,但是1k,10k,50k,100k,500k,100萬以上主動安裝會發生什麼?」
Mihajloski感到困惑的是,這麼大的安全性問題如何在插件的代碼中保留這麼長時間,因為它是一個安全插件,其有效安裝數量比許多知名CMS都要多。 該插件最近被Softaculus收購併經過多家安全組織(包括 WPSec 和 杜威斯特安全。
Mihajloski還建議WordPress提高周圍的透明度 安全,因為某些網站所有者和封閉社區可能不願意由WordPress.org上的陌生人管理其資產。
「 WordPress.org通常是透明的,但是沒有關於誰,如何以及何時決定和執行自動更新的聲明或文檔,」 Mihajloski說。 「這是一種 [like] 把所有的雞蛋都放在一個籃子里。
「我認為這些是WP.org應該重點關注的關鍵點,並且一切都將在短時間內實現:有關安全警告的完整WordPress技術文檔,有關漏洞的披露指南(來自研究人員,也來自供應商)方面),以及對流行插件的重複代碼審核。」
像這樣:
喜歡載入中……