Plug in-ul Jetpack de la WordPress a remediat o vulnerabilitate critică ce permitea utilizatorilor logați să acceseze formularele trimise de alții pe un site. Problema a fost descoperită în timpul unui audit de securitate și afectează versiunile anterioare 3.9.9 din 2016. S-a remediat prin actualizarea automată a plugin-ului pe site-urile instalate.
TL;DR
- Vulnerabilitate critică în funcția Formulare Contact din Jetpack.
- Oferă utilizatorilor logați posibilitatea de a citi formularele trimise de vizitatori.
- Descoperită în timpul unui audit de securitate intern.
- Remediată prin actualizarea a 101 versiuni ale Jetpack.
- Nu există dovezi că vulnerabilitatea a fost exploatată, dar ar putea fi – acum după dezvăluirea publică.
Jetpack - actualizare pentru vulnerabilitate critică
Jetpack, un plugin de la Automattic pentru WordPress, a lansat o actualizare de securitate importantă pentru a aborda o vulnerabilitate care afectează peste 27 de milioane de site-uri. Problema a fost identificată în funcționalitatea Formulare Contact, permițând utilizatorilor logați să acceseze date trimise de alții. Acesta a fost remediat printr-o colaborare strânsă cu WordPress.org pentru a actualiza automat plugin-ul la o versiune sigură pe site-urile care îl folosesc deja.
Evoluția disputei WP Engine cu WordPress
Evoluția acestei probleme de securitate vine pe fondul unei dispute continue între creatorul WordPress, Matt Mullenweg, și providerul de hosting WP Engine. WordPress.org a preluat controlul unui plugin dezvoltator terț pentru a crea propria variantă numită Secure Custom Fields. Update-ul a fost minim pentru a adresa problema de securitate descoperită, fără a dezvălui natura exactă a acesteia.
Protecție împotriva vulnerabilităților de Securitate
Vulnerabilitățile ne amintesc despre importanța securității cibernetice și a actualizărilor regulate. Utilizatorii sunt încurajați să își mențină aplicațiile și plugin-urile la zi și să își protejeze datele prin parole sigure, evitând practicile riscante online.
Sursa articolului:
https://thehackernews.com/2024/10/wordpress-plugin-jetpack-patches-major.html