Новости Критическая уязвимость в WordPress-плагине Jetpack угрожает 27 млн сайтов

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.769
Репутация
11.595
Реакции
61.681
RUB
50
Разработчики популярного плагина Jetpack для критической уязвимости, которая позволяла вошедшему в систему пользователю получить доступ к формам, отправленным другими посетителями сайта.

Ситуация осложняется тем, что плагин установлен на 27 млн сайтов.

Сообщается, что проблема была обнаружена в ходе внутреннего аудита и затрагивает все версии Jetpack, начиная с 3.9.9, выпущенной еще в 2016 году.

535ebf124e88f563579aa62f2377edb1.jpg


«Эта уязвимость может быть использована любым вошедшим на сайт пользователем для чтения форм, отправленных другими посетителями сайта», — пишу разработчики.

В итоге Automattic подготовила исправления для множества уязвимых версий Jetpack, включая:

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11. 6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2. 4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6. 5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7 и 3.9.10.

Теперь владельцам и администраторам сайтов, использующих Jetpack, рекомендуется проверить, обновился ли их плагин до одной из перечисленных выше версий, и выполнить обновление вручную, если необходимо.

Разработчики Jetpack утверждают, что нет никаких доказательств того, что злоумышленники уже использовали в атаках эту уязвимость восьмилетней давности. Однако пользователям советуют как можно скорее установить исправления, ведь теперь, когда о проблеме стало известно, атаки наверняка не заставят себя ждать.

Технические подробности о баге и способах его эксплуатации пока не разглашаются, чтобы дать пользователям больше время на установку обновлений.


 
Сверху Снизу