Jetpack WordPress 插件的维护者发布了一个安全更新,以修复一个可能允许登录用户访问网站上其他人提交的表单的关键漏洞。
Jetpack 属于 WordPress 制造商 Automattic 旗下,是一个一体化插件,提供一整套工具来提高网站的安全性、性能和流量增长。据其网站介绍,该插件已在 2700 万个 WordPress 网站上使用。
据说,Jetpack 是在一次内部安全审计中发现了这个问题,并且自 2016 年发布的 3.9.9 版本以来一直存在。
Jetpack 的 Jeremy Herve 说,该漏洞存在于 Jetpack 的联系表单功能中,“网站上的任何登录用户都可以利用该漏洞读取网站访客提交的表单”。
Jetpack 表示已与 WordPress.org 安全团队密切合作,在已安装的网站上自动将插件更新为安全版本。
以下 101 个不同版本的 Jetpack 已经解决了这一缺陷
6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2. 5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
虽然没有证据表明该漏洞曾在野外被利用过,但鉴于该漏洞已被公开披露,今后有可能被滥用。
值得注意的是,Jetpack 在 2023 年 6 月对 Jetpack 插件中的另一个自 2012 年 11 月起就存在的关键漏洞推出了类似的修复措施。
WordPress创始人马特-穆伦维格(Matt Mullenweg)与托管服务提供商WP Engine之间的纠纷仍在持续,WordPress.org控制了后者的高级自定义字段(ACF)插件,创建了自己的分叉,名为 “安全自定义字段”(Secure Custom Fields)。
“穆伦维格说:”SCF已经更新,删除了商业倒卖,并修复了一个安全问题。“此次更新尽可能以最小的代价修复安全问题。
WordPress 没有透露安全问题的确切性质,但表示该问题与 $_REQUEST 有关。它还表示,该问题已在 6.3.6.2 版本的安全自定义字段中得到解决。
“WordPress 指出:”他们的代码目前是不安全的,在他们修复漏洞之前,让人们避免使用安全自定义字段是他们对客户的失职。“我们也私下通知过他们,但他们没有回应。”
WP Engine 在 X 上发文称,WordPress 从未 “未经同意”“单方面强行 ”从创建者手中夺走一个积极开发的插件。
WordPress在回应中表示,“这种情况以前发生过多次”,为了公共安全,WordPress保留 “未经开发者同意 ”禁用或从目录中删除任何插件、取消开发者对插件的访问权限或更改插件的权利。