Automattic закрывает восьмилетнюю брешь в плагине Jetpack

Разработчики плагина Jetpack для WordPress выпустили обновление безопасности для устранения критической уязвимости, которая позволяла авторизованным пользователям получать доступ к формам, отправленным другими посетителями сайта.

Jetpack, принадлежащий компании Automattic, обеспечивает комплексный набор инструментов для повышения безопасности и производительности сайта. По данным сайта плагина, он используется на 27 миллионах сайтов WordPress.

Уязвимость была обнаружена в функции контактных форм Jetpack в ходе внутреннего аудита безопасности. Она существовала с версии 3.9.9, выпущенной в 2016 году. Проблема позволяла авторизованным пользователям просматривать данные, отправленные посетителями через формы на сайте.

Представитель Jetpack Жереми Херве отметил, что разработчики тесно сотрудничали с командой безопасности WordPress.org для автоматического обновления плагина до безопасной версии на всех установленных сайтах. Уязвимость была исправлена в 101 версии Jetpack, начиная с 13.9.1 и заканчивая 3.9.10. Полный список затронутых версий был опубликован на сайте разработчика.

Хотя на данный момент нет информации о том, что уязвимость использовалась злоумышленниками, риск её эксплуатации существует после публичного раскрытия информации.