WordPress.org推出强制更新登录程序插件,活跃于超过一百万个网站。该插件在其免费版本中提供强力保护,并在其商业升级中提供额外的安全功能,例如双因素身份验证、reCAPTCHA 和无密码登录。

上周,安全研究员 Slavco Mihajloski 发现他向插件作者披露了一个未经身份验证的 SQL 注入漏洞和一个 XSS 漏洞。 Loginizer 版本 1.6.4 于 2020 年 10 月 16 日发布,包含两个问题的修复,总结在插件的博客上:

1 ) [安全修复]:精心设计的登录用户名可能会导致 SQL 注入。此问题已通过使用 PHP 中的 prepare 函数解决,该函数为安全执行准备 SQL 查询。

2) [安全修复]:如果IP HTTP头被修改为空字节,可能会导致存储型XSS。在使用它们解决此问题之前,对 IP HTTP 标头进行适当的清理。

为了给用户升级的时间,Loginizer直到今天才公开这个漏洞。鉴于此漏洞的严重性,WordPress.org 的插件团队向所有在 WordPress 3.7+ 上运行 Loginizer 的站点发布了安全更新。

2020 年 7 月,Loginizer 被 Softaculous 收购,因此该公司还能够使用 Softaculous 创建的 Loginizer 自动升级任何 WordPress 安装。这项工作与 WordPress.org 的更新相结合,覆盖了 Loginizer 的大部分用户群。

自动更新让一些插件用户感到意外,因为他们并没有自己启动插件,也没有激活插件的自动更新。在几个用户在插件的支持论坛上发帖后,插件团队成员塞缪尔伍德说,“WordPress.org 有能力针对插件中的安全问题启用自动更新”,并多次使用此功能。

Mihajloski 今天早些时候在他的博客上发布了更详细的概念证明。他还强调了 WordPress 现有系统的一些问题,这些问题使得如此严重的漏洞无法通过。他声称,由于该插件不使用准备功能来安全地执行 SQL 查询,因此插件审查团队可以轻松解决此问题。 Mihajloski 还建议对官方目录中的插件进行定期代码审计。

“一个插件进版本库就得review,什么时候再review?”米哈伊洛斯基说。 “每个人都从 0 活跃安装开始,但是 1k、10k、50k、100k、500k、100 万以上的活跃安装会怎样?”

Mihajloski 感到困惑的是,如此大量的安全问题仍然存在在插件的代码中存在了很长时间,因为它是一个安全插件,比许多知名的 CMS 具有更多的活跃安装。该插件最近被 Softaculus 收购,并获得包括 WPSec 和 DeWest Security 在内的多个安全组织的批准。

Mihajloski 还建议 WordPress 提高安全方面的透明度,因为一些网站所有者和封闭社区可能不愿意 WordPress 上的陌生人... ] 把你所有的鸡蛋放在一个篮子里。

“我认为这些是 WP.org 应该关注的关键点,一切都会在短期内实施:关于安全警告、披露指南的完整 WordPress 技术文档关于漏洞(来自研究人员,也来自供应商方面),以及对流行插件的重复代码审计。 "

喜欢这样:

喜欢正在加载...

资源