Tadqiqotchilar WordPress.org saytida WordPress zaifliklari tafsilotlarini e’lon qilishdi.
Plaginning zaifliklari WordPress forum qoidalariga rioya qilishdan bosh tortdi va uning hisoblari to’xtatildi.
Yamalar yo’qligiga qaramay, Amerikaning White Fir Design kompaniyasi (Plugin zaifliklari uchun ma’lumotlar bazasi ma’muri) ikkita rasmiy Facebook WordPress plaginidagi zaifliklar tafsilotlarini e’lon qildi. Tadqiqotchilar WordPress forumi moderatorlariga qarshi kurashish maqsadida yuz minglab veb-saytlarni buzishdi. Birinchi zaif plagin, Messenger Customer Chat, WordPress saytida Messenger chat oynasini ko’rsatadi va 20 000 veb-saytlarga o’rnatilgan. Ikkinchi plagin, WooCommerce uchun Facebook, WordPress sayt egalariga o’zlarining WooCommerce do’konlarini Facebook sahifalariga yuklash imkonini beradi va 200 000 veb-saytlarda qo’llaniladi.
Ko’p yillik bahs-munozaralardan so’ng, plaginning zaifliklari WordPress.org forumlari ko’rsatmalariga rioya qilmaslikka qaror qildi, bu esa foydalanuvchilardan plagin zaifliklari haqida forumlar orqali emas, balki elektron pochta orqali xabar berishlarini talab qiladi. Ko’p yillar davomida Plugin zaifliklari jamoasi ushbu ko’rsatmalarni o’jarlik bilan buzdi, natijada ularning forum hisoblari to’xtatildi.
G‘azablangan tadqiqotchilar WordPress.org saytida “qasos” olishga qaror qilishdi. Ta’sir qilingan plaginlarni ishlab chiquvchilarga o’z topilmalari haqida xabar berish o’rniga, ular o’z bloglarida zaifliklar tafsilotlarini, shuningdek, kontseptsiyani isbotlovchi ekspluatatsiyalarni nashr etishni boshladilar. Shunday qilib, ular Easy WP SMTP, Yuzo Related Posts, Social Warfare, Yellow Pencil Plugin va WooCommerce Checkout Manager-dagi zaifliklarni batafsil bayon qildilar, bu esa kiberjinoyatchilarni xursand qildi, ular zaifliklarni faol kampaniyalariga darhol qo’shdilar.
Messenger Customer Chat va Facebook for WooCommerce’dagi zaifliklar saytlararo so‘rovlarni qalbakilashtirishga (CSRF) ruxsat berib, ruxsatsiz tajovuzkorga veb-sayt funksiyalariga kirish imkonini beradi. Ushbu zaifliklardan foydalanish uchun tajovuzkor ro’yxatdan o’tgan foydalanuvchini aldashi (masalan, ijtimoiy muhandislik orqali) zararli havolani bosishi yoki maqsadli veb-saytda hisob qaydnomasini ro’yxatdan o’tkazishi kerak.
Axloqiy sabablarga ko’ra SecurityLab zaifliklar tafsilotlarini oshkor qilmaydi yoki Plagin zaifliklari hisobotiga murojaat qilmaydi.
