Jetpack WordPress插件的维护者发布了一个安全更新,以修复一个严重漏洞。该漏洞可能允许已登录用户访问他人在网站上提交的表单。
Jetpack是WordPress制造商Automattic旗下的一款全能插件,提供全面的工具套件来提高网站安全性、性能和流量增长。据其网站称,它被2700万个WordPress网站使用。
据报道,这个问题是Jetpack在内部安全审计中发现的,自2016年发布的3.9.9版本以来一直存在。
这个漏洞存在于Jetpack的联系表单功能中。Jetpack的Jeremy Herve表示,”任何已登录的用户都可能利用这个漏洞来读取访客在网站上提交的表单。”
Jetpack表示已与WordPress.org安全团队密切合作,自动将已安装网站上的插件更新到安全版本。
这个缺陷已在Jetpack的101个不同版本中得到解决(版本列表略)。
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10虽然没有证据表明这个漏洞曾被利用,但鉴于公开披露,未来可能会被滥用。
值得注意的是,Jetpack在2023年6月为另一个自2012年11月以来一直存在的严重漏洞推出了类似的修复。
这一进展发生在WordPress创始人Matt Mullenweg和托管提供商WP Engine之间持续争议的背景下。WordPress.org接管了后者的Advanced Custom Fields (ACF)插件,创建了自己的分支,称为Secure Custom Fields。
Mullenweg表示:”SCF已更新,移除了商业推销内容并修复了一个安全问题。这次更新尽可能最小化,以修复安全问题。”
WordPress没有透露安全问题的具体性质,但表示与$_REQUEST有关。它进一步表示,这个问题已在Secure Custom Fields的6.3.6.2版本中得到解决。
WordPress指出:”他们的代码目前不安全,告诉人们在修复漏洞之前避免使用Secure Custom Fields是对客户职责的疏忽。我们也私下通知了他们,但他们没有回应。”
WP Engine在X上发帖称,WordPress从未”单方面强制”从创建者手中夺走一个积极开发的插件”而未经同意”。
作为回应,WordPress表示”这种情况以前发生过几次”,并且它保留出于公共安全考虑而禁用或删除目录中的任何插件、删除开发者对插件的访问权限,或”在未经开发者同意的情况下”更改插件的权利。
发表回复