Jetpack, un plugin WordPress, a lansat o actualizare de securitate critică mai devreme astăzi, abordând o vulnerabilitate care permitea unui utilizator autentificat să acceseze formularele trimise de alți vizitatori ai site-ului.
Jetpack este un plugin popular WordPress dezvoltat de Automattic care oferă instrumente pentru îmbunătățirea funcționalității, securității și performanței site-ului. Conform producătorului, pluginul este instalat pe 27 de milioane de site-uri web.
Problema a fost descoperită în timpul unei auditări interne și afectează toate versiunile Jetpack începând cu 3.9.9, lansată în 2016.
„În timpul unei auditări interne de securitate, am descoperit o vulnerabilitate în funcționalitatea Formular de Contact din Jetpack începând cu versiunea 3.9.9, lansată în 2016,” se arată în buletinul de securitate.
„Această vulnerabilitate ar putea fi folosită de orice utilizator autentificat pe un site pentru a citi formularele trimise de vizitatori pe site.”
Automattic a lansat remedii pentru 101 versiuni afectate ale Jetpack, toate enumerate mai jos:
Proprietarii și administratorii de site-uri care folosesc Jetpack trebuie să verifice dacă pluginul lor s-a actualizat automat la una dintre versiunile enumerate mai sus și să facă o actualizare manuală în caz contrar.
Jetpack spune că nu există dovezi că actorii răi au exploatat vulnerabilitatea în cei opt ani de existență, dar îi sfătuiește pe utilizatori să facă upgrade la o versiune corectată cât mai curând posibil.
„Nu avem dovezi că această vulnerabilitate a fost exploatată în sălbăticie. Cu toate acestea, acum că actualizarea a fost lansată, este posibil ca cineva să încerce să profite de această vulnerabilitate,” a avertizat Jetpack.
Rețineți că nu există mijloace de atenuare sau soluții alternative pentru această vulnerabilitate, așadar aplicarea actualizărilor disponibile este singura soluție disponibilă și recomandată.
Detaliile tehnice despre vulnerabilitate și modul în care poate fi exploatată au fost reținute deocamdată pentru a permite utilizatorilor să aplice actualizările de securitate.
Un bug LiteSpeed Cache expune 6 milioane de site-uri WordPress la atacuri de preluare
Crackerii exploatează un bug critic în pluginul LiteSpeed Cache
Bug-ul LiteSpeed Cache expune milioane de site-uri WordPress la atacuri de preluare
GitLab avertizează cu privire la o vulnerabilitate critică de execuție arbitrară a ramurii pipeline-ului
Mozilla rezolvă zero-day-ul Firefox activ exploatat în atacuri
Leave a Reply