WordPress.org推出了强制更新 登录程序 插件,活跃在超过一百万个网站上。 该插件在其免费版本中提供了暴力保护,并在其商业升级中提供了其他安全功能,例如两因素身份验证,reCAPTCHA和PasswordLess登录。
上周安全研究员Slavco Mihajloski 发现 他向插件作者披露了一个未经身份验证的SQL注入漏洞和一个XSS漏洞。 Loginizer版本1.6.4于2020年10月16日发布,其中包含针对两个问题的补丁,总结在插件的博客上:
1) [Security Fix] :用于登录的精心设计的用户名可能导致SQL注入。 此问题已通过使用PHP中的prepare函数修复了,该函数准备SQL查询以安全执行。
2) [Security Fix] :如果将IP HTTP标头修改为具有空字节,则可能导致存储XSS。 在使用IP HTTP标头之前,请先对其进行适当的清理以解决此问题。
为了让用户有时间升级,Loginizer直到今天才披露此漏洞。 考虑到该漏洞的严重性,WordPress.org的插件团队将安全更新发布到了在WordPress 3.7+上运行Loginizer的所有站点。
2020年7月,Loginizer 被Softaculous收购,因此该公司还能够通过使用Softaculous创建的Loginizer自动升级任何WordPress安装。 这项工作与WordPress.org的更新相结合,涵盖了Loginizer的很大一部分用户群。
自动更新使某些插件用户感到惊讶,因为他们自己没有启动该插件,也未激活插件的自动更新。 经过几个用户 已发布 在插件的支持论坛上,插件团队成员Samuel Wood说:“ WordPress.org能够针对插件中的安全性问题启用自动更新”,并且已经多次使用了此功能。
米哈伊洛斯基(Mihajloski) 已发表 今天早些时候在他的博客上有更详细的概念验证。 他还着重指出了有关WordPress已有系统的一些问题,这些系统使这种严重的漏洞无法通过。 他声称,由于插件未使用prepare函数来安全执行SQL查询,因此插件审查小组可以轻松解决此问题。 Mihajloski还建议对官方目录中的插件进行定期代码审核。
“当插件进入存储库时,必须对其进行审核,但是何时再次对其进行审核?” Mihajloski说。 “每个人都从0次主动安装开始,但是1k,10k,50k,100k,500k,100万以上主动安装会发生什么?”
Mihajloski感到困惑的是,这么大的安全性问题如何在插件的代码中保留这么长时间,因为它是一个安全插件,其有效安装数量比许多知名CMS都要多。 该插件最近被Softaculus收购并经过多家安全组织(包括 WPSec 和 杜威斯特安全。
Mihajloski还建议WordPress提高周围的透明度 安全,因为某些网站所有者和封闭社区可能不愿意由WordPress.org上的陌生人管理其资产。
“ WordPress.org通常是透明的,但是没有关于谁,如何以及何时决定和执行自动更新的声明或文档,” Mihajloski说。 “这是一种 [like] 把所有的鸡蛋都放在一个篮子里。
“我认为这些是WP.org应该重点关注的关键点,并且一切都将在短时间内实现:有关安全警告的完整WordPress技术文档,有关漏洞的披露指南(来自研究人员,也来自供应商)方面),以及对流行插件的重复代码审核。”
像这样:
喜欢加载中……