Исследователи опубликовали подробности об уязвимостях в WordPress назло WordPress.org
Сервис Plugin Vulnerabilities отказывался следовать правилам форумов WordPress, и его учетные записи были заблокированы.
Несмотря на отсутствие исправлений, американская компания White Fir Design (администратор баз данных сервиса Plugin Vulnerabilities) опубликовала подробности об уязвимостях в двух официальных плагинах для WordPress от Facebook. Причина, по которой исследователи поставили под угрозу сотни тысяч сайтов, — желание насолить модераторам форума WordPress. Первый уязвимый плагин, Messenger Customer Chat, отображает окно чата Messenger на сайте под управлением WordPress и установлен на 20 тыс. ресурсов. Второй плагин, Facebook for WooCommerce, позволяет владельцам сайтов на базе WordPress загружать свои магазины WooCommerce на страницы в Facebook и используется на 200 тыс. сайтов.
После нескольких лет споров Plugin Vulnerabilities решил, что не будет следовать правилам форумов WordPress.org, обязывающим пользователей сообщать об уязвимостях в плагинах не через форумы, а по электронной почте. В течение последних лет команда Plugin Vulnerabilities упрямо нарушала эти требования, и в результате их учетные записи на форуме были заблокированы.
Возмущенные исследователи решили «отомстить» WordPress.org и вместо того, чтобы сообщать о своих находках разработчикам проблемных плагинов, стали публиковать подробности об уязвимостях в своем блоге, сопровождая их PoC-эксплоитами. Таким образом они подробно описали уязвимости в Easy WP SMTP, Yuzo Related Posts, Social Warfare, Yellow Pencil Plugin и WooCommerce Checkout Manager, чему несказанно обрадовались киберпреступники, сразу же добавившие уязвимости в свои активные кампании.
Уязвимости в Messenger Customer Chat и Facebook for WooCommerce позволяют осуществить межсайтовую подделку запросов (CSRF), благодаря чему неавторизованный злоумышленник может получить доступ к опциям сайта. Для их эксплуатации атакующему нужно либо заставить (например, с помощью социальной инженерии) зарегистрированного пользователя нажать на вредоносную ссылку, либо самому зарегистрировать учетную запись на целевом сайте.
Из соображений этичности SecurityLab не будет сообщать подробности об уязвимостях и ссылаться на отчет Plugin Vulnerabilities.