Atualizações de plugins coordenada para lidar com a vulnerabilidade de segurança em muitos plugins WordPress populares

A atualização do plugin coordenada ocorreu esta manhã entre muitos plugins WordPress populares para resolver uma vulnerabilidade de segurança comum que permite ataques de cross-site scripting XSS.

A vulnerabilidade comum que desencadeou uma atualização do plugin coordenada de diversos plugins populares nesta manhã é causada pela falta de escapar de duas funções WordPress, add_query_arg () e remove_query_arg () .

Parece que foi um equívoco comum que as funções necessárias adicional escapar quando em uso, e a documentação WordPress Codex para as funções não mostrou o escape apropriado nos casos exemplo de uso por vários anos.

O número exato de plugins afetadas é desconhecida, mas uma série de plugins WordPress mais populares são afetados.

A vulnerabilidade foi originalmente divulgado para a equipe da Yoast por Johannes Schmitt de Scrutinizer CI. Joost de Valk levou o assunto a seu parceiro de segurança, Sucuri e, juntos, eles entenderam que a questão poderia afetar muito mais do que do que plugins WordPress SEO e Google Analytics por Yoast.

Eles trabalharam com WordPress principal desenvolvedor e WordPress.org membro da equipe do plugin Dion Hulse para avaliar quantos outros plugins top pode ser vulnerável. Combinados, Joost observa em seu aviso de segurança pós que 44 pessoas se juntou a um canal Slack WordPress dedicado a trabalhar sobre as atualizações, o que resultou na liberação coordenada.

Milhões de sites afetados

Milhões de sites são vulneráveis ​​devido a este problema. Jetpack e do Yoast WordPress SEO só estão ativos em mais de um milhão de sites.

Sucuri identificou um mínimo de quinze plugins afetadas, mas lembram que eles só olhei para cima “300-400” e outros que foram notáveis.

Em toda a probabilidade, muito mais do que os plugins listados terão vulnerabilidades similares. add_query_arg () e remove_query_arg () são funções relativamente comuns no desenvolvimento de WordPress avançado.

Nem sempre uma vulnerabilidade de alto risco

É difícil falar por exatamente como alto risco de o mau uso das funções poderia ser, como eles são usados ​​de diferentes maneiras em diferentes plugins; e até mesmo dentro de uma determinada base de código plugin, eles poderiam ser usados ​​muitas vezes e têm diferentes níveis de risco em cada instância.

Escaping é um princípio fundamental do desenvolvimento. Um dos meus favoritos canecas (foto acima) é de WordPress.com VIP e diz: “Sanear cedo, escapar tarde, e beber com frequência.”

É, portanto, a respeito de que havia tão ampla utilização indevida de uma função WordPress por tanto tempo, e foi desmarcada no Codex.

O Codex anteriormente tinha exemplos sem escapar, e tinha nenhuma indicação se o valor de retorno foi escapou ou não. Ele simplesmente afirma que o valor de retorno como “New seqüência de consulta URL.”

Este foi atualizado, tanto nos exemplos e seção valor o retorno, para notar que ele pode potencialmente retornar dados unescaped.

Nova seqüência de consulta URL. Note-se que este texto pode conter dados unescaped não destinados a uma URL, especialmente se os dados adicionados vem de entrada do usuário. O resultado deve ser passada através esc_url () antes de ser saída como HTML, em um link.

Dito isso, os desenvolvedores Falei com, mesmo com as vulnerabilidades no lugar que eles dizem que o risco de exploração é pequeno, devido aos privilégios necessários de usuários para atacar. Embora seja importante notar que isso não é garantia , e é importante para atualizar seus plugins, se você tem as atualizações disponíveis.

O Codex é um wiki. Não é uma questão fundamental de WordPress que este foi mal documentados, no entanto, aponta para alguns dos problemas que foram observados por algum tempo em conta o valor do Codex. Na verdade, apenas esta manhã a página do Codex para add_query_arg () foi redirecionada para a nova página developer.wordpress.org para a função em vez disso.

Eventualmente, o Codex vai embora para a maioria das funções que podem apontar para a nova referência desenvolvedor .

Cinco plugins optando-se para atualizações forçadas

Jetpack, Downloads Fácil digitais, P3 Plugin Profiler, Baixar monitor e Posts Relacionados para WordPress estão optando por atualizações automáticas forçados de WordPress.org. Isso significa que esses plugins criaram novas versões para cada ramo principal de seus plugins para ser distribuído e atualizado automaticamente pela equipe WordPress.org.

Outros plugins não estão optando. Nomeadamente, Yoast não optar por WordPress SEO ou o seu plugin do Google Analytics. Joost de Valk cita preocupações de que alguns proprietários do local tiveram seus plugins desativados durante o último processo de atualização forçada eles passaram.

Na verdade, o meu próprio site teve plugins desativar quando forçado atualizado cada vez que ocorreu. Tomei esta questão para os membros da equipe de atualização WordPress.org, e foi dito que eles acreditam que é um caso de ocorrência de ponta, e que, enquanto eles estão monitorando as novas atualizações, não há atualmente um plano para mudar práticas para as atualizações. Eu vou estar muito interessado com as atualizações de hoje como comumente isso acontece.

Outros cargos e recursos

Vou continuar a recolher mensagens de plugin de atualização, changelogs, e outros recursos para essa atualização. Se você tem um site WordPress, essas atualizações provavelmente vai afetá-lo.

Não há razão para pânico ou para estar muito preocupado, mas você deve atualizar seus plugins, logo que puder para reduzir o risco de vulnerabilidade.

suporte qtag

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

dezenove − 7 =