Jetpack, популярний плагін WordPress, розроблений компанією Automattic, сьогодні випустив критичне оновлення системи безпеки, усунувши вразливість, яка може вплинути на мільйони веб-сайтів. Встановлений на понад 27 мільйонах сайтів у всьому світі, Jetpack є основним інструментом для підвищення функціональності веб-сайту, безпеки та продуктивності.

Раніше сьогодні була випущена версія 13.9.1 Jetpack, яка містить важливе виправлення безпеки. Згідно з бюлетенем безпеки , « хоча у нас немає доказів того, що ця вразливість ще була використана, оновіть свою версію Jetpack якнайшвидше, щоб забезпечити безпеку вашого сайту ». Користувачів Jetpack закликають діяти негайно, оскільки вразливість, хоча вона ще не використана, становить значний ризик тепер, коли подробиці були розкриті.

Уразливість, яка існує з версії 3.9.9, пов’язана з функцією контактної форми Jetpack. Цей недолік потенційно може дозволити зареєстрованим користувачам читати форми, надіслані відвідувачами сайту, створюючи загрозу конфіденційності та безпеці даних. Jetpack заявив, що вони виявили цю проблему під час внутрішнього аудиту безпеки.

Щоб пом’якшити цю проблему, Automattic тісно співпрацює з командою безпеки WordPress.org, щоб випустити виправлені версії для кожної ітерації Jetpack, починаючи з 3.9.9. Jetpack підтвердив: « Більшість веб-сайтів було або незабаром буде автоматично оновлено до захищеної версії ». Вони також надали вичерпний список із 101 різної версії Jetpack, які сьогодні були виправлені, гарантуючи, що жоден користувач не залишиться вразливим.

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10.

Хоча немає доказів того, що цю вразливість використовували в дикій природі, Automattic визнала ризик, попередивши, що « тепер, коли оновлення випущено, можливо, хтось спробує скористатися цією вразливістю ». Це підкреслює важливість негайного оновлення для захисту постраждалих веб-сайтів.

Власникам веб-сайтів, які використовують Jetpack, настійно рекомендується підтвердити, що вони використовують останню версію, щоб забезпечити захист свого сайту. Компанія Automattic принесла вибачення за будь-які незручності, спричинені цією вразливістю, і підтвердила свою відданість постійним перевіркам безпеки.

« Ми продовжуватимемо регулярно перевіряти всі аспекти нашої кодової бази, щоб переконатися, що ваш сайт Jetpack залишається безпечним », — заявили в компанії.

Джерело:https://securityonline.info/critical-security-vulnerability-in-jetpack-plugin-affects-millions-of-wordpress-websites/