Apache Friends Support Forum

[unleash_it]

Patchstack meldet 404 Sicherheitslücken, die mehr als 1,6 Millionen Websites betreffen, an das Plugins-Team von WordPress.org

Nach einer Häufung unbekannter und ungepatchter Schwachstellen in auf WordPress.org gehosteten Plugins hat Patchstack dem Plugin-Review-Team von WordPress 404 Plugins gemeldet.
„Diese Situation stellt ein erhebliches Risiko für die WordPress-Community dar und wir haben beschlossen, Maßnahmen zu ergreifen“, sagte Patchstack-Forscher Darius Sveikauskas.

Sarah Gooding hat in einem neuen Artikel auf WPTavern (Link vgl. unten) auf das Thema aufmerksam gemacht:

„Da diese Entwickler nicht erreichbar waren, haben wir die vollständige Liste dieser 404-Schwachstellen zur Bearbeitung an das Plugin-Überprüfungsteam gesendet.“

Normalerweise ist die Meldung von Plugins an WordPress.org der letzte Ausweg in schwierigen Fällen, wenn Patchstack keine Möglichkeit findet, die Anbieter zu kontaktieren.
In diesem Fall haben viele dieser Plugin-Autoren keine Kontaktinformationen in ihre Erweiterungen aufgenommen oder reagieren nicht auf Kommunikationsversuche.
Patchstack hat es als „Zombie-Plugin-Pandemie“ bezeichnet, da die überwältigende Anzahl verlassener Plugins mehr als 1,6 Millionen Websites betrifft.
Das Plugins-Team von WordPress.org hat auf den Bericht reagiert und mehr als 70 % der Plugins geschlossen. Im Juni fügte das Team sechs neue gesponserte
Freiwillige hinzu und eröffnete Bewerbungen für weitere Teammitglieder, hatte jedoch Schwierigkeiten, einen gewaltigen Rückstand an Plugins zu verwalten,
die auf eine Überprüfung warten. Der Rückstand steigt immer weiter und liegt nun bei über 1.119 Plugins mit einer Wartezeit von 71 Tagen.

Das Hinzufügen von Plugin-Schwachstellen, bei denen Hunderte geschlossen werden müssen, erhöht nur die Zeit, die Entwickler auf die Überprüfung neuer Plugins warten müssen.

Mit Stand vom 31. August 2023 meldet Patchstack die folgenden Statistiken im Zusammenhang mit diesen Berichten an WordPress.org:

404 Schwachstellen
358 Plugins betroffen
289 Plugins (71,53 %) – Geschlossen
109 Plugins (26,98 %) – Gepatched

6 Plugins (1,49 %) – Nicht geschlossen / Nicht gepatcht
Bis zu 1,6 Millionen aktive Installationen betroffen
Durchschnittliche Installationen pro Plugin 4984
Höchste Installationszahl 100.000 (zwei Plugins)
Höchster CVSS 9.1
Durchschnittlicher CVSS 5,8

„Ältestes“ Plugin – 13 Jahre seit dem letzten Update
Patchstack fordert Entwickler dringend auf, ihre Kontaktdaten zu den Dateien readme.txt und/oder SECURITY.md ihrer Plugins hinzuzufügen. Um das Management
von Sicherheitsproblemen zu optimieren, hat das Unternehmen das Projekt Patchstack mVDP (Managed Vulnerability Disclosure Program) ins Leben gerufen,
an dem Entwickler kostenlos teilnehmen können. Patchstack validiert die eingehenden Berichte, belohnt die Forscher und leitet sie zur Bearbeitung an
den Anbieter weiter.
Das Unternehmen plädiert außerdem für eine Dashboard-Benachrichtigung, wenn ein Plugin oder Theme aus Sicherheitsgründen entfernt wird, da WordPress
dem Benutzer diese Informationen derzeit nicht mitteilt. Ihre Forscher werden bald weitere Berichte einreichen, die möglicherweise zu geschlossenen
Verlängerungen führen.
„Wir bereiten weitere ähnliche Listen für das WordPress.org-Themen-Repository und Repositories vor, die sich auf Premium-Produkte konzentrieren“,
sagte Sveikauskas. „Wir bearbeiten derzeit mehr als 200 weitere ähnliche Schwachstellen


weitere Infos, Quellen u. v.a.m.
der Artikel auf WpTavern: https://wptavern.com/patchstack-reports ... ugins-team