Η προσθήκη WordPress Jetpack κυκλοφόρησε μια κρίσιμη ενημέρωση ασφαλείας νωρίτερα σήμερα, αντιμετωπίζοντας μια ευπάθεια που επέτρεπε σε έναν συνδεδεμένο χρήστη να έχει πρόσβαση σε φόρμες που υποβάλλονταν από άλλους επισκέπτες στον ιστότοπο.
Το Jetpack είναι μια δημοφιλής προσθήκη WordPress από την Automattic που παρέχει εργαλεία για τη βελτίωση της λειτουργικότητας, της ασφάλειας και της απόδοσης του ιστότοπου. Σύμφωνα με τον προμηθευτή, το πρόσθετο είναι εγκατασταθεί σε 27 εκατομμύρια ιστότοπους.
Το ζήτημα ανακαλύφθηκε κατά τη διάρκεια εσωτερικού ελέγχου και επηρεάζει όλες τις εκδόσεις Jetpack από την 3.9.9, που κυκλοφόρησε το 2016.
“Κατά τη διάρκεια ενός εσωτερικού ελέγχου ασφαλείας, βρήκαμε ένα θέμα ευπάθειας με τη λειτουργία Φόρμας Επικοινωνίας στο Jetpack από την έκδοση 3.9.9, που κυκλοφόρησε το 2016.” διαβάζει το δελτίο ασφαλείας.
“Αυτή η ευπάθεια θα μπορούσε να χρησιμοποιηθεί από οποιονδήποτε συνδεδεμένο χρήστη σε έναν ιστότοπο για την ανάγνωση φορμών που υποβάλλονται από επισκέπτες στον ιστότοπο.”
Η Automattic κυκλοφόρησε επιδιορθώσεις για 101 επηρεασμένες εκδόσεις του Jetpack, όλες που αναφέρονται παρακάτω:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Οι ιδιοκτήτες ιστοτόπων και οι διαχειριστές που βασίζονται στο Jetpack πρέπει να ελέγξουν εάν η προσθήκη τους έχει αναβαθμιστεί αυτόματα σε μία από τις εκδόσεις που αναφέρονται παραπάνω και να πραγματοποιήσουν μη αυτόματη αναβάθμιση, εάν δεν έχει γίνει.
Το Jetpack λέει ότι δεν υπάρχουν στοιχεία ότι κακόβουλοι ηθοποιοί εκμεταλλεύτηκαν το ελάττωμα στα οκτώ χρόνια ύπαρξής του, αλλά συμβουλεύει τους χρήστες να αναβαθμίσουν σε μια ενημερωμένη έκδοση το συντομότερο δυνατό.
“Δεν έχουμε στοιχεία που να αποδεικνύουν ότι αυτή η ευπάθεια έχει χρησιμοποιηθεί στην άγρια φύση. Ωστόσο, τώρα που κυκλοφόρησε η ενημέρωση, είναι πιθανό κάποιος να προσπαθήσει να εκμεταλλευτεί αυτήν την ευπάθεια”, προειδοποίησε η Jetpack.
Λάβετε υπόψη ότι δεν υπάρχουν μετριασμούς ή λύσεις για αυτό το ελάττωμα, επομένως η εφαρμογή των διαθέσιμων ενημερώσεων είναι η μόνη διαθέσιμη και προτεινόμενη λύση.
Τεχνικές λεπτομέρειες σχετικά με το ελάττωμα και τον τρόπο με τον οποίο μπορεί να εκμεταλλευτεί έχουν αποκρύψει προς το παρόν, προκειμένου να δοθεί στους χρήστες κάποιο χρονικό διάστημα για να εφαρμόσουν τις ενημερώσεις ασφαλείας.
VIA: bleepingcomputer.com
