Loginizer 插件对影响 100 万用户的漏洞进行强制安全更新
WordPress.org 推出了 Loginizer 插件的强制安全更新,该插件在超过 100 万个网站上处于活跃状态.该插件在其免费版本中提供强力保护,并在其商业升级中提供其他安全功能,如两因素身份验证、reCAPTCHA 和 PasswordLess 登录.
上周,安全研究员 Slavco Mihajloski 发现了一个未经身份验证的 SQL 注入漏洞和一个 XSS 漏洞,他向插件作者披露了该漏洞.Loginizer 1.6.4 版本于 2020 年 10 月 16 日发布,针对这两个问题做了补丁,总结在插件的博客上:
1) [安全修复]:用于登录的精心设计的用户名可能会导致 SQL 注入.这已通过使用 PHP 中的准备函数修复,该函数为安全执行准备 SQL 查询.
2) [安全修复]:如果 IP HTTP 标头被修改为具有空字节,则可能导致存储的 XSS.这已通过在使用之前正确清理 IP HTTP 标头来解决.
Loginizer 直到今天才公开该漏洞,以便让用户有时间升级.鉴于漏洞的严重性,WordPress.org 的插件团队向所有在 WordPress 3.7+ 上运行 Loginizer 的站点推送了安全更新.
在 2020 年 7 月,Loginizer 被 Softaculous 收购,因此该公司还能够使用使用 Softaculous 创建的 Loginizer 自动升级任何 WordPress 安装.这项工作与 WordPress.org 的更新相结合,覆盖了 Loginizer 的大部分用户群.
任何使用@loginizer 安装的#WordPress 可能没有使用另一个WAF 解决方案.正如您从图中所注意到的,600k+500k 的活跃安装被颠倒了更新,所以 … Preauth SQLi 在里面,由我报告.更新!紧缩写作:) https://t.co/gkEVWun9wt pic.twitter.com/XWXVMYO1ED
— mslavco (@mslavco) 2020 年 10 月 19 日
自动更新让一些插件的用户感到意外,因为他们没有自己启动它,也没有激活插件的自动更新.几位用户在插件的支持论坛上发帖后,插件团队成员 Samuel Wood 表示"WordPress.org 能够针对插件中的安全问题开启自动更新".并多次使用此功能.
Mihajloski 今天早些时候在他的博客上发表了更详细的概念验证.他还强调了一些对 WordPress 系统的担忧,这些系统允许这种严重的漏洞从裂缝中溜走.他声称这个问题很容易被插件审查团队阻止,因为插件没有使用准备功能来安全执行 SQL 查询.Mihajloski 还建议对官方目录中的插件进行循环代码审计.
“当一个插件进入存储库时,它必须被审查,但什么时候再次审查?”米哈伊洛斯基说."每个人都从 0 次活跃安装开始,但是 1k、10k、50k、100k、500k、100 万+ 活跃安装会发生什么?"
Mihajloski 感到困惑的是,如此明显的安全问题怎么会在插件的代码中保留这么久,因为它是一个安全插件,其有效安装数量超过了许多著名的 CMS.该插件最近也在被 Softaculus 收购后易手,之前曾受到多个安全组织(包括 WPSec 和 Dewhurst Security)的漏洞通知.
Mihajloski 还建议 WordPress 提高安全性方面的透明度,因为一些网站所有者和封闭社区可能不愿意让他们的资产在 WordPress.org 上由不知名的人管理.
“WordPress.org 通常是透明的,但没有任何关于谁、如何以及何时决定和执行自动更新的声明或文件,”米哈伊洛斯基说.“这有点 [like] 把你所有的鸡蛋放在一个篮子里.
“我认为这些是 WP.org 应该关注的关键点,一切都会在短时间内到位:完整的 WordPress 安全警告技术文档,漏洞披露指南(来自研究人员,但也从供应商方面),以及对流行插件的重复代码审计.”
VPS1352主机测评网(www.vps1352.com)
本文链接:https://www.vps1352.com/7412.html
