Jetpack WordPress 外掛的維護者釋出了一個安全更新,以修復一個嚴重漏洞。該漏洞可能允許已登入使用者訪問他人在網站上提交的表單。
Jetpack 是 WordPress 製造商 Automattic 旗下的一款全能外掛,提供全面的工具套件來提高網站安全性、效能和流量增長。據其網站稱,它被 2700 萬個 WordPress 網站使用。
據報道,這個問題是 Jetpack 在內部安全審計中發現的,自 2016 年釋出的 3.9.9 版本以來一直存在。
這個漏洞存在於 Jetpack 的聯絡表單功能中。 Jetpack 的 Jeremy Herve 表示,” 任何已登入的使用者都可能利用這個漏洞來讀取訪客在網站上提交的表單。”
Jetpack 表示已與 WordPress.org 安全團隊密切合作,自動將已安裝網站上的外掛更新到安全版本。
這個缺陷已在 Jetpack 的 101 個不同版本中得到解決 (版本列表略) 。
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10雖然沒有證據表明這個漏洞曾被利用,但鑑於公開披露,未來可能會被濫用。
值得注意的是,Jetpack 在 2023 年 6 月為另一個自 2012 年 11 月以來一直存在的嚴重漏洞推出了類似的修復。
這一進展發生在 WordPress 創始人 Matt Mullenweg 和託管提供商 WP Engine 之間持續爭議的背景下。 WordPress.org 接管了後者的 Advanced Custom Fields (ACF) 外掛,建立了自己的分支,稱為 Secure Custom Fields 。
Mullenweg 表示:”SCF 已更新,移除了商業推銷內容並修復了一個安全問題。這次更新儘可能最小化,以修復安全問題。”
WordPress 沒有透露安全問題的具體性質,但表示與 $_REQUEST 有關。它進一步表示,這個問題已在 Secure Custom Fields 的 6.3.6.2 版本中得到解決。
WordPress 指出:” 他們的程式碼目前不安全,告訴人們在修復漏洞之前避免使用 Secure Custom Fields 是對客戶職責的疏忽。我們也私下通知了他們,但他們沒有回應。”
WP Engine 在 X 上發帖稱,WordPress 從未” 單方面強制” 從建立者手中奪走一個積極開發的外掛” 而未經同意” 。
作為回應,WordPress 表示” 這種情況以前發生過幾次”,並且它保留出於公共安全考慮而禁用或刪除目錄中的任何外掛、刪除開發者對外掛的訪問許可權,或” 在未經開發者同意的情況下” 更改外掛的權利。
發表回覆