mboost-dp1

WordPress

WordPress-plugin fjernet for fjerde gang – sender data til tredjepart

-

WordPress.org har nu for fjerde gang måttet pille plugin’et ‘Display Widget’ ned fra det officielle repository for WordPress plugins.

Det sker efter brugere og udviklere tidligere har gjort opmærksom på, at Display Widget hentede 38 MB fra en tredjepartsserver. Den kode blev brugt til at samle data fra den givne hjemmeside og sende det videre til tredjepart.

Denne widget var på nedtagelsestidspunktet installeret på 200.000 websites. Det er dog ikke nødvendigvis alle, der kører med ‘bagdørsudgaven’. Det har været muligt at downloade seneste udgave af Display Widget siden 30. juni (version 2.6.1).

Ved tidligere ‘nedpilninger’ har plugin’et indeholdt lignende problematiske funktioner.





Gå til bund
Gravatar #1 - Unicco33
18. sep. 2017 05:41
Så vidt jeg ved, bliver alle plugins forhåndsgodkendt, før de ryger ud på deres repo. Så jeg kan ikke rigtig forstå at wp teamet godkender det 4. gange. Det virker ret dumt. Vedmindre det har skiftet navn eller sådan noget, for så nænsomt tror jeg heller ikke de går det igennem, men det ville medføre at pluginnet "mister" alle sine brugere.
Gravatar #2 - Kian
18. sep. 2017 07:26
Måske man også skulle pille nogle af de folk fra godkendelsesteamet ned...
Gravatar #3 - _tweak
18. sep. 2017 17:20
Det er forholdsvist nemt at komme til at overse en stump kode der kan eksekvere fremmed kode. Det gør det bare ikke rigtig okay :-)
Gravatar #4 - arne_v
18. sep. 2017 18:46
Første gang er vel OK - de forventer ikke den slag snavs. Anden gang er vel også OK - de forventer at budskabet blev fanget. Men tredie og fjerde gang vill jeg mene at de skulle have været ekstremt grundige belært af erfaring.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login