Patchstack segnala 404 vulnerabilità che colpiscono oltre 1,6 milioni di siti Web al team dei plug-in di WordPress.org – WP Tavern

Dopo un accumulo di vulnerabilità non divulgate e senza patch nei plugin ospitati su WordPress.org, Patchstack ha segnalato 404 plugin al Plugin Review Team di WordPress.

“Questa situazione crea un rischio significativo per la comunità di WordPress e abbiamo deciso di agire”, ha affermato il ricercatore di Patchstack Darius Sveikauskas. “Poiché questi sviluppatori non sono raggiungibili, abbiamo inviato l’elenco completo di queste 404 vulnerabilità al team di revisione dei plugin per l’elaborazione.”

Di solito, segnalare i plugin a WordPress.org è l’ultima risorsa per i casi difficili dopo che Patchstack non riesce a trovare un modo per contattare i fornitori. In questo caso, molti di questi autori di plugin non hanno incluso informazioni di contatto nelle loro estensioni o non rispondono ai tentativi di comunicazione. Patchstack lo ha caratterizzato come un “Pandemia di plugin zombie” a causa dell’enorme numero di plugin abbandonati che interessano più di 1,6 milioni di siti.

Il team dei plugin di WordPress.org ha dato seguito alla segnalazione chiudendo oltre il 70% dei plugin. A giugno la squadra aggiunti sei nuovi volontari sponsorizzati e ho aperto domande per più membri del team, ma lo hanno fatto ha lottato per gestire un arretrato formidabile di plugin in attesa di essere recensiti. IL arretrato sta salendo più in alto e ora supera i 1.119 plugin con un tempo di attesa di 71 giorni.

L’aggiunta di problemi di vulnerabilità dei plug-in, per cui centinaia devono essere chiusi, non fa altro che aumentare il tempo che gli sviluppatori devono attendere per ottenere la revisione dei nuovi plug-in.

Al 31 agosto 2023, Patchstack riporta a WordPress.org le seguenti statistiche associate a questi rapporti:

• 404 vulnerabilità
• 358 plugin interessati
• 289 plugin (71,53%) – Chiuso
• 109 plugin (26,98%) – Patchati
• 6 plugin (1,49%) – Non chiusi/Non patchati
• Sono interessate fino a 1,6 milioni di installazioni attive
• Installazioni medie per plug-in 4984
• Conteggio massimo di installazioni 100000 (due plugin)
• CVSS più alto 9.1
• CVSS medio 5,8
• Plugin “più vecchio” – 13 anni dall’ultimo aggiornamento

Patchstack esorta gli sviluppatori ad aggiungere i propri dettagli di contatto ai propri plugin leggimi.txt e/o SICUREZZA.md File. Per semplificare la gestione dei problemi di sicurezza, l’azienda ha creato il Patchstack mVDP (programma di divulgazione delle vulnerabilità gestite) progetto, a cui gli sviluppatori possono aderire gratuitamente. Patchstack convalida i report che arrivano, premia i ricercatori e li trasmette al fornitore per essere indirizzati.

Anche l’azienda lo è sostenendo un avviso sul dashboard quando un plugin o un tema viene rimosso per motivi di sicurezza, poiché WordPress attualmente non fornisce all’utente queste informazioni. I loro ricercatori presenteranno presto ulteriori rapporti che potrebbero comportare la chiusura delle estensioni.

“Stiamo preparando elenchi più simili per il repository di temi WordPress.org e repository focalizzati su prodotti premium”, ha affermato Sveikauskas. “Attualmente stiamo elaborando circa oltre 200 vulnerabilità simili.”