不滿WordPress支援論壇，安全研究人員連續公布3個WordPress外掛程式漏洞

有安全研究人員最近連續藉由Plugin Vulnerabilities平台，對外公布了3個WordPress外掛程式的零時差漏洞，陷逾10萬個WordPress網站於安全風險中，而相關研究人員在公布這些漏洞時，提及他們只是為了抗議WordPress支援論壇版的版主行為，只要版主停止不當行為，他們也會立即終止對外揭露零時差漏洞。

無端受到池魚之殃的3個WordPress外掛程式分別是Social Warfare、 Yuzo Related Posts與Yellow Pencil Visual Theme Customizer，其中，Social Warfare是個社交網站分享外掛程式，有超過6萬個WordPress網站安裝了該外掛，研究人員在3周前公布了Social Warfare的安全漏洞，幸好開發人員即時修補了它。

但之後又被踢爆含有零時差漏洞的Yuzo Related Posts及Yellow Pencil Visual Theme Customizer就沒這麼幸運了，可用來自動找出相關文章的Yuzo Related Posts原本擁有6萬個安裝數量，可客製化主題的Yellow Pencil Visual Theme Customizer則有3萬個安裝數量，由於已經惹來了攻擊，都已自 WordPress外掛程式商店下架，且開發人員還建議用戶應儘快將所安裝的版本移除。

研究人員是故意不遵循責任揭露，而逕自對外公開這些WordPress外掛程式漏洞的，目的是為了抗議WordPress支援論壇（WordPress Support Forum）各版主的不當行為，例如這些版主明知有些熱門外掛程式含有漏洞，卻未通知相關的開發人員，或者是版主們聯手遮掩外掛程式的安全問題，更抨擊版主為了推廣特定安全服務而阻攔用戶得到其它幫助。

這看起來很像是Plugin Vulnerabilities平台與WordPress支援論壇之間的恩怨而引發的，前者不僅是以WordPress打造，更定位為專門對抗WordPress外掛程式漏洞的服務，明顯也是WordPress粉絲，但不論如何都已危及眾多WordPress網站的安全。