Een WordPress security onderzoeker van PluginVulnerabilities.com claimt dat hij kwetsbaarheden heeft aangetroffen in twee Facebook WordPress plugins. Het gaat om Facebook for WooCommerce en Messenger Customer Chat. De onderzoeker heeft de kwetsbaarheden afgelopen maandag openbaar gemaakt zonder de auteur op de hoogte te stellen, naar eigen zeggen “uit protest tegen de moderators op het WordPress Support Forum.”
Over de Facebook WordPress plugins
Zowel Facebook for WooCommerce als Messenger Customer Chat zijn ontwikkeld door Facebook. Beide plugins worden op grote schaal gebruikt. Messenger Customer Chat, met 200.000 installaties, stelt gebruikers in staat om Facebook Messenger op hun WordPress website te installeren. De Facebook for WooCommerce plugin, met 20.000 installaties, maakt het mogelijk om WooCommerce producten op Facebook te promoten.
Onverantwoordelijke openbaarmaking
Omdat de onderzoeker de auteurs van de plugins niet op de hoogte heeft gebracht, konden er ook geen patches gemaakt worden voorafgaand aan de openbaarmaking. Het is niet de eerste keer dat dergelijke zero day kwetsbaarheden in plugins opzettelijk openbaar worden gemaakt voordat er patches gemaakt kunnen worden. Dat gebeurde eerder dit jaar ook al bij Social Warfare, Easy WP SMTP, de Yuzo plugin en de Yellow Pencil plugin. De mensen achter PluginVulnerabilities.com stellen op de website dat ze dit doen uit protest tegen het “aanhoudend ongepast gedrag” van de moderators van het WordPress Support Forum:
“Vanwege het aanhoudend ongepast gedrag van de moderators van het WordPress Support Forum, maken wij uit protest alle kwetsbaarheden onmiddellijk openbaar totdat WordPress die situatie heeft opgelost. Dus we publiceren deze post en laten voor de ontwikkelaar een bericht achter op het WordPress Support Forum.”
Negatieve reacties
De tactiek van PluginVulnerabilities.com krijgt behoorlijk wat kritiek. Een recente Medium post beschreef hoe de acties van de website serieus de veiligheid van het WordPress ecosysteem ondermijnen:
“Omdat PluginVulnerabilities.com niet instemt met de regels van het WordPress Support Forum en hun nep-accounts worden verwijderd, hebben ze besloten om WordPress.org te chanteren,” zo is te lezen. “Ze eisen dat WordPress.org ‘de moderatie oplost’ of ze zullen doorgaan met het ondermijnen van de veiligheid van het WordPress ecosysteem door plugin kwetsbaarheden openbaar te maken zonder eerst contact op te nemen met de ontwikkelaars.”
Eigen methode
WordPress heeft binnen haar ecosysteem een methode voor het oplossen van plugin kwetsbaarheden. Samuel Wood legde dit als volgt uit:
“Het proces is simpel: als je een kwetsbaarheid aantreft, en niet direct contact op kunt nemen met de plugin auteur, dan email je plugins@wordpress.org, wij emailen hen voor jou en werken samen met de auteurs om de plugin te patchen. Geen gedoe, niemand die er een probleem van maakt. Zo eenvoudig is het.”
Volgens Wood heeft WordPress al zeker 100 nep-accounts van PluginVulnerabilities.com geblokkeerd. Of er echt kwetsbaarheden zitten in die twee Facebook WordPress plugins? Dat is mogelijk. Zou dat op een betere manier kunnen worden opgelost dan hoe PluginVulnerabilities.com het doet? Ongetwijfeld.
