WordPress 插件 Jetpack 修补影响 2700 万个站点的重大漏洞 网络相关
Jetpack WordPress 插件的维护人员发布了一个安全更新来修复一个严重漏洞,该漏洞可能允许登录用户访问网站上其他人提交的表单。
Jetpack 是 WordPress 制造商 Automattic 旗下的一款多合一插件,提供一整套工具来提高网站安全性、性能和流量增长。据其网站称,有 2700 万个 WordPress 网站使用了该插件。
据称,该问题是 Jetpack 在内部安全审核期间发现的,并且自 2016 年发布的 3.9.9 版本以来一直存在。
该漏洞存在于 Jetpack 的“联系表单”功能中,“任何登录网站的用户均可利用该漏洞读取网站访问者提交的表单”,Jetpack 的 Jeremy Herve表示。
Jetpack 表示,它与 WordPress.org 安全团队密切合作,在已安装的网站上自动将插件更新为安全版本。
以下 101 个不同版本的 Jetpack 已解决了此缺陷 -
13.9.1、13.8.2、13.7.1、13.6.1、13.5.1、13.4.4、13.3.2、13.2.3、13.1.4、13.0.1、12.9.4、12.8.2、12.7。 2、12.6.3、12.5.1、12.4.1、12.3.1、12.2.2、12.1.2、12.0.2、11.9.3、11.8.6、11.7.3、11.6.2、11.5.3、 11.4.2、11.3.4、11.2.2、11.1.4、11.0.2、 10.9.3、10.8.2、10.7.2、10.6.2、10.5.3、10.4.2、10.3.2、10.2.3、10.1.2、10.0.2、9.9.3、9.8.3、9.7。 3、9.6.4、9.5.5、9.4.4、9.3.5、9.2.4、9.1.3、9.0.5、8.9.4、8.8.5、8.7.4、8.6.4、8.5.3、 8.4.5、8.3.3、8.2.6、8.1.4、8.0.3、7.9.4、7.8.4、7.7.6、 7.6.4、7.5.7、7.4.5、7.3.5、7.2.5、7.1.5、7.0.5、6.9.4、6.8.5、6.7.4、6.6.5、6.5.4、6.4。 6、6.3.7、6.2.5、6.1.5、6.0.4、5.9.4、5.8.4、5.7.5、5.6.5、5.5.5、5.4.4、5.3.4、5.2.5、 5.1.4、5.0.3、4.9.3、4.8.5、4.7.4、4.6.3、4.5.3、4.4.5、4.3.5、4.2.5、 4.1.4、4.0.7、3.9.10
虽然没有证据表明该漏洞曾被利用,但鉴于其被公开披露,未来很有可能被滥用。
值得注意的是,Jetpack 于 2023 年 6 月推出了类似的修复程序,以修复自 2012 年 11 月以来 Jetpack 插件中的另一个严重缺陷。
这一发展发生在WordPress 创始人马特·穆伦韦格 (Matt Mullenweg) 与托管服务提供商 WP Engine之间持续不断的 争执 之中,WordPress.org 控制了后者的高级自定义字段 (ACF) 插件,以创建自己的名为安全自定义字段 (Secure Custom Fields) 的分支。
Mullenweg表示: “SCF 已进行更新,删除了商业追加销售并修复了安全问题。此次更新尽可能简化,以修复安全问题。”
WordPress 并未透露该安全问题的具体性质,但表示该问题与 $_REQUEST 有关。它还表示,该问题已在 Secure Custom Fields 6.3.6.2 版本中得到解决。
WordPress指出: “他们的代码目前并不安全,他们告诉人们在修复漏洞之前不要使用安全自定义字段,这是对客户的失职。” “我们也私下通知过他们,但他们没有回应。”
WP Engine 在 X 上的一篇文章中声称WordPress 从未“在未经同意的情况下”从“创建者”手中“单方面强行”拿走积极开发的插件。
对此,WordPress 表示“这种情况之前已经发生过几次”,并且它保留禁用或从目录中删除任何插件、删除开发人员对插件的访问权限或为了公共安全而“未经开发人员同意”进行更改的权利。