Après une accumulation de vulnérabilités non divulguées et non corrigées dans les plugins hébergés sur WordPress.org, Patchstack a signalé 404 plugins à l’équipe de révision des plugins de WordPress.

« Cette situation crée un risque important pour la communauté WordPress, et nous avons décidé d’agir », a déclaré Darius Sveikauskas, chercheur chez Patchstack. « Comme ces développeurs étaient inaccessibles, nous avons envoyé la liste complète de ces 404 vulnérabilités à l’équipe d’examen des plugins pour traitement. »

Habituellement, signaler les plugins à WordPress.org est un dernier recours pour les cas difficiles après que Patchstack ne parvient pas à trouver un moyen de contacter les fournisseurs. Dans ce cas, beaucoup de ces auteurs de plugins n’ont inclus aucune information de contact dans leurs extensions ou ne répondent pas aux tentatives de communication. Patchstack l’a caractérisé comme un « Pandémie de plugins zombies» en raison du nombre écrasant de plugins abandonnés affectant plus de 1,6 million de sites.

L’équipe des plugins WordPress.org a donné suite au rapport en fermant plus de 70 % des plugins. En juin, l’équipe ajouté six nouveaux bénévoles parrainés et ouvert des candidatures pour plus de membres de l’équipe, mais j’ai eu du mal à gérer un énorme arriéré de plugins en attente de révision. Le arriéré grimpe plus haut et compte désormais plus de 1 119 plugins avec un temps d’attente de 71 jours.

L’ajout de problèmes de vulnérabilité des plugins, où des centaines doivent être fermés, ne fait qu’ajouter au temps que les développeurs doivent attendre pour que les nouveaux plugins soient examinés.

Au 31 août 2023, Patchstack rapporte les statistiques suivantes associées à ces rapports à WordPress.org :

  • 404 vulnérabilités
  • 358 plugins concernés
  • 289 plugins (71,53%) – Fermé
  • 109 plugins (26,98%) – Patché
  • 6 plugins (1,49%) – Non fermés / Non patchés
  • Jusqu’à 1,6 million d’installations actives concernées
  • Installations moyennes par plugin 4984
  • Nombre d’installations le plus élevé 100 000 (deux plugins)
  • CVSS 9.1 le plus élevé
  • CVSS moyen 5,8
  • Plugin « le plus ancien » – 13 ans depuis la dernière mise à jour

Patchstack exhorte les développeurs à ajouter leurs coordonnées à leurs plugins lisezmoi.txt et/ou SÉCURITÉ.md des dossiers. Pour rationaliser la gestion des problèmes de sécurité, l’entreprise a créé le Patchstack mVDP (programme géré de divulgation des vulnérabilités) projet, auquel les développeurs peuvent adhérer gratuitement. Patchstack valide les rapports reçus, récompense les chercheurs et les transmet au fournisseur pour qu’il les traite.

L’entreprise est également plaider pour une alerte sur le tableau de bord lorsqu’un plugin ou un thème est supprimé pour des raisons de sécurité, car WordPress ne fournit actuellement pas cette information à l’utilisateur. Leurs chercheurs soumettront bientôt davantage de rapports pouvant aboutir à des extensions fermées.

« Nous préparons d’autres listes similaires pour le référentiel de thèmes WordPress.org et les référentiels axés sur les produits premium », a déclaré Sveikauskas. « Nous traitons actuellement environ 200+ vulnérabilités similaires supplémentaires. »


Source link