被曝含0day漏洞的插件是Yuzo Related Posts和Yellow Pencil Visual Theme Customizer，目前這兩個插件已下架，開發人員建議用戶盡快將涉及插件移除。近日，有安全研究人員連續在Plugin Vulnerabilities平台上，對外公佈了3個WordPress外掛程式的0day漏洞，將10萬個WordPress網站於陷於安全風險中。

相關研究人員在公佈這些漏洞時，提到他們只是為了抗議WordPress 支持論壇版（WordPress Support Forum）的版主行為。只要版主停止不當行為，他們會立即終止對外揭露0day 漏洞。

被揭露漏洞的3 個WordPress 插件分別是Social Warfare、Yuzo Related Posts 和Yellow Pencil Visual Theme Customizer。其中，Warfare 是個社交網站分享插件，有超過6 萬個WordPress 網站安裝了該插件。研究人員在3 週前公佈了Social Warfare 的安全漏洞，插件開發人員即時將它修補了。

另外兩個插件就沒這麼幸運了。可用來自動找出相關文章的Yuzo Related Posts 原本擁有6 萬個安裝數量，可自定義主題的Yellow Pencil Visual Theme Customizer 則有3 萬個安裝數量，這兩個插件都都惹來了攻擊，目前已在WordPress 插件商店下架，插件開發人員還建議用戶應盡快將所安裝的版本移除。

據了解，原本安全人員在公開漏洞前，會給開發者一定的緩衝時間。而這次漏洞曝光，研究人員故意不遵循責任揭露，直接對外公開這些WordPress插件漏洞。他們聲稱目的是為了抗議WordPress支持論壇版主的不當行為。這些版主明知有些熱門插件含有漏洞，卻未通知相關的開發人員。版主們甚至會聯手隱瞞插件的安全問題，為了推廣特定安全服務而阻攔用戶得到其它幫助。

這次漏洞接連曝光事件，看起來很像是Plugin Vulnerabilities 平台與WordPress 支持論壇之間的恩怨而引發的。前者不僅是為WordPress 打造，定位更是專門對抗WordPress 插件漏洞的服務。但不論如何，原本應該是維護WordPress 安全的事件，目前卻已危及到了眾多WordPress 網站的安全。