Jetpack WordPress 插件的维护者发布了一个安全更新,以修复一个严重漏洞。该漏洞可能允许已登录用户访问他人在网站上提交的表单。
Jetpack 是 WordPress 制造商 Automattic 旗下的一款全能插件,提供全面的工具套件来提高网站安全性、性能和流量增长。据其网站称,它被 2700 万个 WordPress 网站使用。
据报道,这个问题是 Jetpack 在内部安全审计中发现的,自 2016 年发布的 3.9.9 版本以来一直存在。
这个漏洞存在于 Jetpack 的联系表单功能中。 Jetpack 的 Jeremy Herve 表示,” 任何已登录的用户都可能利用这个漏洞来读取访客在网站上提交的表单。”
Jetpack 表示已与 WordPress.org 安全团队密切合作,自动将已安装网站上的插件更新到安全版本。
这个缺陷已在 Jetpack 的 101 个不同版本中得到解决 (版本列表略) 。
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
虽然没有证据表明这个漏洞曾被利用,但鉴于公开披露,未来可能会被滥用。
值得注意的是,Jetpack 在 2023 年 6 月为另一个自 2012 年 11 月以来一直存在的严重漏洞推出了类似的修复。
这一进展发生在 WordPress 创始人 Matt Mullenweg 和托管提供商 WP Engine 之间持续争议的背景下。 WordPress.org 接管了后者的 Advanced Custom Fields (ACF) 插件,创建了自己的分支,称为 Secure Custom Fields 。
Mullenweg 表示:”SCF 已更新,移除了商业推销内容并修复了一个安全问题。这次更新尽可能最小化,以修复安全问题。”
WordPress 没有透露安全问题的具体性质,但表示与 $_REQUEST 有关。它进一步表示,这个问题已在 Secure Custom Fields 的 6.3.6.2 版本中得到解决。
WordPress 指出:” 他们的代码目前不安全,告诉人们在修复漏洞之前避免使用 Secure Custom Fields 是对客户职责的疏忽。我们也私下通知了他们,但他们没有回应。”
WP Engine 在 X 上发帖称,WordPress 从未” 单方面强制” 从创建者手中夺走一个积极开发的插件” 而未经同意” 。
作为回应,WordPress 表示” 这种情况以前发生过几次”,并且它保留出于公共安全考虑而禁用或删除目录中的任何插件、删除开发者对插件的访问权限,或” 在未经开发者同意的情况下” 更改插件的权利。
发表回复