Супер популярный плагин для WordPress имел серьезную уязвимость в безопасности
WordPress недавно принудительно обновил более пяти миллионов веб-сайтов, пытаясь защитить их от недавно обнаруженной серьезной уязвимости.
Уязвимость была обнаружена в Jetpack, одном из самых популярных плагинов для известного конструктора сайтов, который предлагает дополнительные функции безопасности, производительности и управления сайтом.
По данным компании Automattic, материнской компании WordPress, у этого плагина более пяти миллионов активных установок, и администраторы используют его для резервного копирования своих сайтов, защиты от атак грубой силы, сканирования атак вредоносных программ и многого другого.
Большинство сайтов защищены
«Во время внутреннего аудита безопасности мы обнаружили уязвимость в API, доступном в Jetpack, начиная с версии 2.0, выпущенной в 2012 году, — сказал Джереми Эрве, инженер по работе с разработчиками. «Эта уязвимость может быть использована авторами веб-сайтов для манипулирования файлами в установке WordPress».
Согласно официальным данным WordPress, по состоянию на 30 мая Jetpack 12.1.1 был загружен и установлен более чем на 4 350 000 веб-сайтов. Это составляет около 45% всей экосистемы WordPress, что означает, что около 55% остаются незащищенными. Во избежание путаницы сюда входят как активные, так и неактивные установки. Похоже, что большинство активных сайтов были исправлены.
По словам Эрве, нет никаких доказательств того, что уязвимость эксплуатируется в дикой природе, и что теперь это, вероятно, изменится, когда уязвимость станет достоянием общественности.
«У нас нет доказательств того, что эта уязвимость использовалась в реальной среде. Однако теперь, когда выпущено исправление, возможно, что кто-то попытается использовать эту уязвимость», — добавил он.
«Пожалуйста, обновите свою версию Jetpack как можно скорее, чтобы обеспечить безопасность вашего сайта. Чтобы помочь вам в этом процессе, мы тесно сотрудничали с командой безопасности WordPress.org, чтобы выпускать обновленные версии каждого выпуска Jetpack, начиная с 2.0. Большинство веб-сайтов имеют была или скоро будет автоматически обновлена до безопасной версии».
Последний раз WordPress принудительно обновлялся почти год назад, в июне 2022 года, когда была исправлена серьезная ошибка в Ninja Forms. Дополнение, которое на тот момент было установлено более миллиона раз, позволило злоумышленникам полностью завладеть уязвимым веб-сайтом.
Исследователи заявили, что в отличие от уязвимости Jetpack, уязвимость Ninja Forms использовалась в дикой природе. Пользователям рекомендуется обновить свой плагин до версии 3.6.11 на случай сбоя автоматического обновления по какой-либо причине.