WordPress 插件 Jetpack 修补影响 2700 万个站点的重大漏洞

Jetpack WordPress 插件的维护人员发布了一个安全更新来修复一个严重漏洞，该漏洞可能允许登录用户访问网站上其他人提交的表单。

Jetpack 是 WordPress 制造商 Automattic 旗下的一款多合一插件，提供一整套工具来提高网站安全性、性能和流量增长。据其网站称，有 2700 万个 WordPress 网站使用了该插件。

据称，该问题是 Jetpack 在内部安全审核期间发现的，并且自 2016 年发布的 3.9.9 版本以来一直存在。

该漏洞存在于 Jetpack 的“联系表单”功能中，“任何登录网站的用户均可利用该漏洞读取网站访问者提交的表单”，Jetpack 的 Jeremy Herve表示。

Jetpack 表示，它与 WordPress.org 安全团队密切合作，在已安装的网站上自动将插件更新为安全版本。

以下 101 个不同版本的 Jetpack 已解决了此缺陷 -

13.9.1、13.8.2、13.7.1、13.6.1、13.5.1、13.4.4、13.3.2、13.2.3、13.1.4、13.0.1、12.9.4、12.8.2、12.7。 2、12.6.3、12.5.1、12.4.1、12.3.1、12.2.2、12.1.2、12.0.2、11.9.3、11.8.6、11.7.3、11.6.2、11.5.3、 11.4.2、11.3.4、11.2.2、11.1.4、11.0.2、 10.9.3、10.8.2、10.7.2、10.6.2、10.5.3、10.4.2、10.3.2、10.2.3、10.1.2、10.0.2、9.9.3、9.8.3、9.7。 3、9.6.4、9.5.5、9.4.4、9.3.5、9.2.4、9.1.3、9.0.5、8.9.4、8.8.5、8.7.4、8.6.4、8.5.3、 8.4.5、8.3.3、8.2.6、8.1.4、8.0.3、7.9.4、7.8.4、7.7.6、 7.6.4、7.5.7、7.4.5、7.3.5、7.2.5、7.1.5、7.0.5、6.9.4、6.8.5、6.7.4、6.6.5、6.5.4、6.4。 6、6.3.7、6.2.5、6.1.5、6.0.4、5.9.4、5.8.4、5.7.5、5.6.5、5.5.5、5.4.4、5.3.4、5.2.5、 5.1.4、5.0.3、4.9.3、4.8.5、4.7.4、4.6.3、4.5.3、4.4.5、4.3.5、4.2.5、 4.1.4、4.0.7、3.9.10

虽然没有证据表明该漏洞曾被利用，但鉴于其被公开披露，未来很有可能被滥用。

值得注意的是，Jetpack 于 2023 年 6 月推出了类似的修复程序，以修复自 2012 年 11 月以来 Jetpack 插件中的另一个严重缺陷。

这一发展发生在WordPress 创始人马特·穆伦韦格 (Matt Mullenweg) 与托管服务提供商 WP Engine之间持续不断的 争执 之中，WordPress.org 控制了后者的高级自定义字段 (ACF) 插件，以创建自己的名为安全自定义字段 (Secure Custom Fields) 的分支。

Mullenweg表示： “SCF 已进行更新，删除了商业追加销售并修复了安全问题。此次更新尽可能简化，以修复安全问题。”

WordPress 并未透露该安全问题的具体性质，但表示该问题与 $_REQUEST 有关。它还表示，该问题已在 Secure Custom Fields 6.3.6.2 版本中得到解决。

WordPress指出： “他们的代码目前并不安全，他们告诉人们在修复漏洞之前不要使用安全自定义字段，这是对客户的失职。” “我们也私下通知过他们，但他们没有回应。”

WP Engine 在 X 上的一篇文章中声称WordPress 从未“在未经同意的情况下”从“创建者”手中“单方面强行”拿走积极开发的插件。

对此，WordPress 表示“这种情况之前已经发生过几次”，并且它保留禁用或从目录中删除任何插件、删除开发人员对插件的访问权限或为了公共安全而“未经开发人员同意”进行更改的权利。