Jetpack WordPress插件的維護者發佈了一個安全更新,以修復一個嚴重漏洞。該漏洞可能允許已登錄用户訪問他人在網站上提交的表單。
Jetpack是WordPress製造商Automattic旗下的一款全能插件,提供全面的工具套件來提高網站安全性、性能和流量增長。據其網站稱,它被2700萬個WordPress網站使用。
據報道,這個問題是Jetpack在內部安全審計中發現的,自2016年發佈的3.9.9版本以來一直存在。
這個漏洞存在於Jetpack的聯繫表單功能中。Jetpack的Jeremy Herve表示,”任何已登錄的用户都可能利用這個漏洞來讀取訪客在網站上提交的表單。”
Jetpack表示已與WordPress.org安全團隊密切合作,自動將已安裝網站上的插件更新到安全版本。
這個缺陷已在Jetpack的101個不同版本中得到解決(版本列表略)。
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10雖然沒有證據表明這個漏洞曾被利用,但鑑於公開披露,未來可能會被濫用。
值得注意的是,Jetpack在2023年6月為另一個自2012年11月以來一直存在的嚴重漏洞推出了類似的修復。
這一進展發生在WordPress創始人Matt Mullenweg和託管提供商WP Engine之間持續爭議的背景下。WordPress.org接管了後者的Advanced Custom Fields (ACF)插件,創建了自己的分支,稱為Secure Custom Fields。
Mullenweg表示:”SCF已更新,移除了商業推銷內容並修復了一個安全問題。這次更新儘可能最小化,以修復安全問題。”
WordPress沒有透露安全問題的具體性質,但表示與$_REQUEST有關。它進一步表示,這個問題已在Secure Custom Fields的6.3.6.2版本中得到解決。
WordPress指出:”他們的代碼目前不安全,告訴人們在修復漏洞之前避免使用Secure Custom Fields是對客户職責的疏忽。我們也私下通知了他們,但他們沒有回應。”
WP Engine在X上發帖稱,WordPress從未”單方面強制”從創建者手中奪走一個積極開發的插件”而未經同意”。
作為回應,WordPress表示”這種情況以前發生過幾次”,並且它保留出於公共安全考慮而禁用或刪除目錄中的任何插件、刪除開發者對插件的訪問權限,或”在未經開發者同意的情況下”更改插件的權利。
發表回覆