Freemius исправляет серьезные уязвимости в библиотеке, используемой популярными плагинами WordPress

Freemius , монетизации, аналитика и маркетинговая библиотека для WordPress плагин и разработчиков темы, заплата проверкой подлинности уязвимости обновления вариант в WordPress-SDK четыре дня назад. Библиотека включена во многие популярные плагины, такие как NextGEN Gallery (более 1 000 000 установок), 404–301 (более 100 000 установок), WP Security Audit Log (80 000+ установок) и FooGallery (более 100 000 установок). Генеральный директор Freemius Вова Фельдман сказал, что классифицирует это как «серьезную уязвимость».

Фельдман планировал подождать, чтобы опубликовать что-либо об уязвимости, пока не обновятся другие авторы плагинов, но группа безопасности на PluginVulnerabilities.com опубликовала подробное объяснение уязвимости в течение 24 часов после того, как разработчики плагинов получили уведомление о патче:

Уязвимость – это когда с проверкой подлинности при обновлении, которая позволит любому, у кого есть доступ к учетной записи WordPress, получить полный контроль над веб-сайтом. Это тип уязвимости, которую хакеры попытаются использовать при значительном использовании плагина. Любой, кто разрешает ненадежным лицам доступ к учетным записям WordPress и использует плагин с этой библиотекой, подвергается довольно значительному риску, если он не обновил плагин до версии, которая исправляет это, или не деактивировал плагин.

Разработчики плагинов, использующие библиотеку, уже были уведомлены Freemius, командой pluginvulnerabilities.com, и вскоре с ними свяжется команда плагинов WordPress.org. Полный список плагинов, подверженных этой уязвимости, пока недоступен, но у Freemius есть страница на своем веб-сайте, на которой представлены 96 плагинов WordPress.org и девять тем, которые ее используют .

«Более 60% разработчиков, использующих наш SDK, уже перешли на исправленную версию», – сказал Фельдман. На сегодняшний день Фельдман сказал, что не получал никаких сообщений об использовании уязвимости.

Фельдман опубликовал сводку действий своей компании по проблеме безопасности и рассказал, как Freemius работает над уменьшением уязвимости и пытается дать пользователям больше времени для обновления. Компания потребовала от разработчиков, использующих свою библиотеку wordpress-sdk, две вещи:

• Если это обновление безопасности будет включено в ваш журнал изменений, используйте только общую формулировку, например «Исправление безопасности».
• Даже после обновления и выпуска исправленных версий, пожалуйста, не раскрывайте эту проблему в течение следующих 30 дней, чтобы у всех наших партнеров и их пользователей было достаточно времени для обновления.

В интересах компании как можно дольше хранить подробности проблемы безопасности продукта в секрете, но это может сделать некоторых пользователей незащищенными, когда уязвимость уже была опубликована в сети. Любому пользователю, который видит обновление для плагина, использующего Freemius, рекомендуется немедленно отреагировать на это обновление, независимо от того, какое общее примечание появляется в журнале изменений.

По словам представителя, назвавшегося Джоном, у PluginVulnerabilities.com как компании, предоставляющей услуги безопасности, были разные приоритеты при публикации подробностей об уязвимости:

В этом случае, когда мы не первооткрыватели. Самая большая проблема заключается в том, что уязвимость, похоже, уже использовалась, когда мы столкнулись с ней, поэтому сокрытие ситуации от общественности кажется крайне безответственным. Наши клиенты платят нам за то, чтобы мы предупреждали их об уязвимостях в их плагинах, поэтому нам нужно будет сразу же предупредить их, как только мы узнаем об этом. Если бы мы только предупредили наших клиентов, это, очевидно, вызовет серьезные вопросы, поскольку другие участники сообщества WordPress останутся в неведении.

В подобных случаях, когда разработчики включают стороннюю библиотеку в свои плагины, пользователям может потребоваться больше времени, чтобы получить обновление, исправляющее уязвимость, поскольку о необходимости патча необходимо сообщить нескольким сторонам. Ситуация похожа на недавнюю уязвимость, которую Bootstrap исправил две недели назад. Bootstrap объявил об уязвимости на той же неделе, когда о ней было сообщено и что она была исправлена, вместо того, чтобы пытаться отложить раскрытие, хотя тысячи продуктов в Интернете используют платформу Bootstrap.

WordPress.org в настоящее время не имеет механизма для пометки определенных обновлений плагинов как обновлений безопасности, но если обновление безопасности достаточно серьезное, команда плагинов может ускорить выпуск обновлений при сотрудничестве с авторами плагинов. В данном случае этот маршрут еще не пройден, но мы продолжим следить за ситуацией. Между тем, если вы используете плагин, который включает Freemius, а автор не обновился, вы можете временно отключить плагин, пока не будет доступен патч.