WordPress 插件 Jetpack 修补影响 2700 万个站点的主要漏洞

admin
admin
admin
138635
文章
114
评论
2024年10月16日09:47:09评论20 views字数 2009阅读6分41秒阅读模式

Jetpack WordPress 插件的维护者发布了一个安全更新,以修复一个关键漏洞,该漏洞可能允许登录用户访问站点上其他人提交的表单。

Jetpack 由 WordPress 制造商 Automattic 拥有,是一个多合一的插件,它提供了一套全面的工具来提高站点安全、性能和流量增长。根据其网站,它被用于 2700 万个 WordPress 网站。

据说该问题是 Jetpack 在内部安全审计期间发现的,并且自 2016 年发布的 3.9.9 版以来一直存在。

该漏洞存在于 Jetpack 的联系表单功能中,“网站上任何登录的用户都可以使用它来阅读访问者在网站上提交的表单,”Jetpack 的 Jeremy Herve 说。

Jetpack 表示,它已与 WordPress.org 安全团队密切合作,在已安装的网站上将插件自动更新为安全版本。

以下 101 个不同版本的 Jetpack 中已解决了该缺点 -

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10

虽然没有证据表明该漏洞曾被广泛利用,但鉴于公开披露,它在未来有可能被滥用。

值得注意的是,Jetpack 于 2023 年 6 月针对 Jetpack 插件中自 2012 年 11 月以来一直存在的另一个严重缺陷推出了类似的修复程序。

这一发展是在 WordPress 创始人 Matt Mullenweg 和托管服务提供商 WP Engine 之间持续争议的情况下进行的,WordPress.org 控制了后者的高级自定义字段 (ACF) 插件,以创建自己的分支,称为安全自定义字段。

“SCF 已更新,以删除商业追加销售并修复安全问题,”Mullenweg 说。“此更新尽可能少地修复安全问题。”

WordPress 没有透露安全问题的确切性质,但表示这与 _REQUEST 美元有关。它进一步表示,该问题已在 Secure Custom Fields 的 6.3.6.2 版本中得到解决。

“他们的代码目前不安全,他们告诉人们在修复漏洞之前避免使用安全自定义字段是他们对客户的失职,”WordPress 指出。“我们也私下通知了他们这件事,但他们没有回应。”

WP Engine 在 X 上的一篇文章中声称 WordPress 从未“未经同意”“单方面强行”从其创建者那里拿走积极开发的插件。

作为回应,WordPress 表示“这种情况以前已经发生过几次”,并且它保留从目录中禁用或删除任何插件、删除开发人员对插件的访问权限或“未经开发人员同意”以维护公共安全的权利。

尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
WordPress 插件 Jetpack 修补影响 2700 万个站点的主要漏洞
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
WordPress 插件 Jetpack 修补影响 2700 万个站点的主要漏洞
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com

原文始发于微信公众号(信息安全大事件):WordPress 插件 Jetpack 修补影响 2700 万个站点的主要漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月16日09:47:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WordPress 插件 Jetpack 修补影响 2700 万个站点的主要漏洞https://cn-sec.com/archives/3273542.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息