Jetpack risolve una vulnerabilità critica legata alla divulgazione di informazioni che esisteva dal 2016

Il plug-in WordPress Jetpack ha rilasciato oggi un significativo aggiornamento di sicurezza, risolvendo una vulnerabilità che consentiva a un utente registrato di accedere ai moduli inviati da altri visitatori del sito.

Jetpack è un popolare plugin WordPress di Automattic che fornisce strumenti per migliorare la funzionalità, la sicurezza e le prestazioni del sito web. Secondo il venditore, il plugin lo è È stato installato su 27 milioni di siti web.

Il problema è stato scoperto durante un audit interno e interessa tutte le versioni di Jetpack a partire dalla versione 3.9.9, rilasciata nel 2016.

“Durante un controllo di sicurezza interno, abbiamo riscontrato una vulnerabilità nella funzionalità del modulo di contatto in Jetpack a partire dalla versione 3.9.9, rilasciata nel 2016,” Legge il bollettino sulla sicurezza.

“Questa vulnerabilità potrebbe essere utilizzata da qualsiasi utente connesso al sito per leggere i moduli inviati dai visitatori del sito.”

Automattic ha rilasciato correzioni per 101 versioni interessate di Jetpack, tutte elencate di seguito:

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10

I proprietari di siti Web e gli amministratori che si affidano a Jetpack devono verificare se il loro plug-in è stato aggiornato automaticamente a una delle versioni sopra indicate ed eseguire un aggiornamento manuale in caso contrario.

Jetpack afferma che non ci sono prove che autori malintenzionati abbiano sfruttato la falla durante i suoi otto anni di esistenza, ma consiglia agli utenti di eseguire l’aggiornamento alla versione corretta il prima possibile.

“Non abbiamo prove che questa vulnerabilità sia stata sfruttata direttamente. Tuttavia, ora che l’aggiornamento è stato rilasciato, è possibile che qualcuno tenti di sfruttare questa vulnerabilità”, ha avvertito Jetpack.

Tieni presente che non esistono attenuazioni o soluzioni alternative per questo bug, quindi l’applicazione degli aggiornamenti disponibili è l’unica soluzione disponibile e consigliata.

I dettagli tecnici sulla falla e su come è stata sfruttata per ora sono stati nascosti per dare agli utenti il ​​tempo di applicare gli aggiornamenti di sicurezza.