来自安全研究员的报复——Facebook WordPress插件漏洞被曝光

一位研究WordPress的安全人员称自己发现了由Facebook开发两个WordPress插件，WooCommerce和Messenger Customer Chat，都存在能够伪造跨站点请求的缺陷。这个研究人员在Plugin Vulnerabilities网站上发布了这些漏洞，但并没有提前通知供应商，以此作为对“WordPress支持论坛”（WordPress Support Foru）版主的抗议。

这两款由Facebook开发的插件使用非常广泛。Messenger Customer Chat的安装数量为20万，能够让用户将Facebook的聊天 工具 集成到他们的WordPress网站上，以便与客户进行互动。WooCommerce也有2万次安装，可以让用户将他们的WooCommerce产品连接到Facebook。

漏洞详情

Plugin Vulnerabilities在本周一通过其网站和Twitter公布了这些漏洞，而这位研究人员也并不是第一次做这种不负责任的举动，他之前也曾在补丁发布前就披露WordPress插件的漏洞。此事一出，“Plugin Vulnerabilities”网站和这个研究人员立刻成了信息安全界的众矢之的，骂声如潮。

Plugin Vulnerabilities网站披露时称这两个插件缺少可防止跨站点请求造假（CSRF / XSRF）攻击的检查，Messenger Customer Chat缺少一项限制访问用户类型的检查功能。

伪造跨站点请求是一种利用HTTP协议的攻击。例如当打开基于Web的应用程序时，可以强制目标执行不需要的操作（更改其电子邮件、转移资金等），从而允许伪造者根据操纵该过程，达到自己的目的。

就Messenger Customer Chat来说，由于有无害处理手段，此漏洞可能导致破坏仅限于禁用插件的功能或在网站页面上放置消息，因为选项的值位于前端页面的底部。

Facebook的WooCommerce也被发现缺少防止CSRF条件所需的随机数。Plugin Vulnerabilities网站说，根据插件库指南的Facebook WooCommerce的页面，该插件还没有使用最新的三个主要版本的WordPress进行测试。它可能已经不再继续被维护了，并且在与更新版本的WordPress一起使用时可能会出现兼容性问题。

不负责任的披露

Plugin Vulnerabilities网站因插件漏洞披露问题而一直遭到强烈批评。该网站已公布了一系列漏洞和插件的概念验证（POC），如WooCommerce Checkout Manager扩展、Yellow Pensil插件、Social Warfare以及Yuzo相关帖子, 其中许多在披露后不久就被黑客频繁利用。

Plugin Vulnerabilities在其网站上表示，披露这些漏洞，是为了抗议WordPress Support论坛版主“持续不当行为”，并且会一直全面披露漏洞，直到WordPress改正不当行为。Plugin Vulnerabilities网站还喊话：

你们可能认为（论坛的人）他们已经意识到错误了，但考虑到他们明知故犯地将一些有数百万次安装的有漏洞的插件保留在插件目录中，且并不认为这是”不当行为“，说明他们的问题很大，其审核过程需要好好整改。

但是这种反抗策略本身还是引起了批评，最近在Medium上发布的贴子详述了为什么这种做法是“严重破坏WordPress生态系统的安全性”。

由于pluginvulnerabilities.com不同意WordPress Support论坛的规则，他们的假帐户被封停，于是决定勒索WordPress.org。他们要求WordPress.org”清除审核“，否则他们将继续破坏WordPress生态系统的安全性，向黑客透露插件安全漏洞，而不是首先与开发人员联系。

WordPress.org插件目录（Plugin Directory）团队，是一个独立于论坛版主的团队，其插件审核小组的发言人说：Plugin Vulnerabilities网站在论坛中发布0 day漏洞，破环了支持论坛的规定。我们已经劝阻他们不要再发布，应该联系我们直接通知开发人员，但是他们还是一意孤行，从来不联系插件开发人员，不停地发布0 day漏洞。Plugin Vulnerabilities的人似乎将插件审核小组的行为（与开发人员联系并解决问题）与论坛团队的行为（从论坛中清除0 day）混为一谈了。

插件审核小组承认并没有完美地解决所有漏洞问题，但至少正在尽全力做好，也改善了情况。