Фельдман планировал подождать, чтобы опубликовать что-либо об уязвимости, пока больше авторов плагина не обновились, но группа безопасности в PluginVulnerabilities.com опубликовала подробное объяснение уязвимости в течение 24 часов плагина разработчики получают уведомление о патче:
Уязвимость, аутентифицированная уязвимость обновления опции, позволит любому, кто имеет доступ к учетной записи WordPress, взять полный контроль над веб-сайтом. Это тип уязвимости, что хакеры будут пытаться использовать, если есть значительное использование плагина. Любой, кто позволяет недоверенных лиц доступ к счетам WordPress и использует плагин с этой библиотекой находится на довольно значительный риск, если они не обновили плагин для версии, которая фиксирует это или деактивируетплайщик.
Разработчики плагинов, использующие библиотеку, уже были уведомлены Freemius, командой pluginvulnerabilities.com, и в скором времени с ней свяжется WordPress.org команда плагинов. Полный список плагинов, пострадавших от этой уязвимости не доступен еще нет, но Freemius имеет страницу на своем веб-сайте демонстрации 96 WordPress.org плагинов и девять тем, которые используют его.
«Более 60% разработчиков, которые используют наш SDK уже обновлены до исправленной версии», сказал Фельдман. На сегодняшний день Фельдман заявил, что не получал никаких сообщений об уязвимости, которая была использована.
Фельдман опубликовал резюме действий своей компании по проблеме безопасности и описал, как Freemius работает над смягчением воздействия и пытается дать пользователям больше времени для обновления. Компания запросила у разработчиков две вещи, используя свою библиотеку wordpress-sdk:
- Если это обновление безопасности будет включено в ваш журнал изменений, пожалуйста, используйте только общую формулировку, такую как «Исправление безопасности».
- Даже после обновления и выпуска исправленных версий, пожалуйста, не раскрывайте эту проблему в течение следующих 30 дней, что позволяет достаточно времени для всех наших партнеров и их пользователей для обновления.
Это в интересах компании, чтобы держать детали безопасности продукта в тайне как можно дольше, но это может оставить некоторых пользователей подвергаются, когда уязвимость уже была опубликована в Интернете. Любой пользователь, который видит обновление для плагина с помощью Freemius рекомендуется действовать на это обновление немедленно, независимо от того, что общий примечание появляется в журнале изменений.
Как компания, предоставляющая службу безопасности, PluginVulnerabilities.com имели различные приоритеты в публикации подробной информации об уязвимости, по словам представителя, который идентифицировал себя как Джон:
В этом случае, когда мы не первооткрыватели. Самая большая проблема заключается в том, что уязвимость, похоже, уже эксплуатируется, когда мы столкнулись с ней, так что сокрытие ситуации от общественности кажется крайне безответственным. Наши клиенты платят нам, чтобы предупредить их об уязвимостях в их плагине, поэтому мы должны предупредить их сразу же, как только мы узнали об этом. Если бы мы только предупредили наших клиентов, что, очевидно, вызывает некоторые серьезные вопросы, поскольку другие в WordPress сообщество останется в темноте.
В таких случаях, когда разработчики включают стороннюю библиотеку в свои плагины, пользователям может потребоваться больше времени для получения обновления, которое исправляет уязвимость, так как необходимость в патче должна быть доведена до нескольких сторон. Ситуация похожа на недавнюю уязвимость, которую Bootstrap исправил две недели назад. Bootstrap объявил об уязвимости на той же неделе было сообщено и исправлено, вместо того, чтобы отложить раскрытие информации, хотя тысячи продуктов через Интернет используют рамки Bootstrap.
WordPress.org в настоящее время не имеет механизма, чтобы пометить определенные обновления плагина, как обновления безопасности, но если обновление безопасности является достаточно серьезным, плагин команда может нажать обновления быстрее с сотрудничеством с плагина авторов. Этот маршрут в данном случае пока не рассматривался, но мы будем продолжать следить за ситуацией. В то же время, если вы используете плагин, который включает в себя Freemius и автор не обновляется, вы можете рассмотреть вопрос о превращении плагина временно до тех пор, пока патч доступен.
Оригинал: wptavern.com