安全研究人受够！再公布WordPress 3大外挂漏洞

有安全研究人员最近连续藉由Plugin Vulnerabilities平台，对外公布了3个WordPress插件的零时差漏洞，陷逾10万个WordPress网站于安全风险中，而相关研究人员在公布这些漏洞时，提及他们只是为了抗议WordPress支持论坛版的版主行为，只要版主停止不当行为，他们也会立即终止对外揭露零时差漏洞。无端受到池鱼之殃的3个WordPress插件分别是Social Warfare、 Yuzo Related Posts与Yellow Pencil Visual Theme Customizer，其中，Social Warfare是个社交网站分享插件，有超过6万个WordPress网站安装了该外挂，研究人员在3周前公布了Social Warfare的安全漏洞，幸好开发人员实时修补了它。

但之后又被踢爆含有零时差漏洞的Yuzo Related Posts及Yellow Pencil Visual Theme Customizer就没这么幸运了，可用来自动找出相关文章的Yuzo Related Posts原本拥有6万个安装数量，可客制化主题的Yellow Pencil Visual Theme Customizer则有3万个安装数量，由于已经惹来了攻击，都已自 WordPress插件商店下架，且开发人员还建议用户应尽快将所安装的版本移除。研究人员是故意不遵循责任揭露，而径自对外公开这些WordPress插件漏洞的，目的是为了抗议WordPress支持论坛（WordPress Support Forum）各版主的不当行为，例如这些版主明知有些热门插件含有漏洞，却未通知相关的开发人员，或者是版主们连手遮掩插件的安全问题，更抨击版主为了推广特定安全服务而阻拦用户得到其它帮助。这看起来很像是Plugin Vulnerabilities平台与WordPress支持论坛之间的恩怨而引发的，前者不仅是以WordPress打造，更定位为专门对抗WordPress插件漏洞的服务，明显也是WordPress粉丝，但不论如何都已危及众多WordPress网站的安全。