Os mantenedores do plugin Jetpack WordPress lançaram uma atualização de segurança para corrigir uma vulnerabilidade crítica que poderia permitir que usuários logados acessassem formulários enviados por outras pessoas no site.
Jetpack, de propriedade do fabricante do WordPress Automattic, é um plug-in completo que oferece ferramentas abrangentes para melhorar a segurança do site, o desempenho e o crescimento do tráfego. É usado em 27 milhões de sites WordPress, de acordo com seu site.
O problema teria sido identificado pelo Jetpack durante uma auditoria interna de segurança e persiste desde a versão 3.9.9, lançada em 2016.
A vulnerabilidade existe no recurso Formulário de Contato do Jetpack e “pode ser usada por qualquer usuário logado para ler formulários enviados por visitantes do site”, disse Jeremy Herve, do Jetpack.
Jetpack disse que trabalhou em estreita colaboração com a equipe de segurança do WordPress.org para atualizar automaticamente o plugin para uma versão mais segura nos sites instalados.
Deficiência resolvida nas próximas 101 versões do Jetpack –
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.7, 12.8. 2. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5. 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.3. 2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Embora não haja evidências de que as vulnerabilidades tenham sido exploradas em estado selvagem, há uma grande probabilidade de que sejam exploradas no futuro devido à exposição pública.
É importante notar que o Jetpack lançou uma correção semelhante para outro bug crítico no plugin Jetpack em junho de 2023, que existe desde novembro de 2012.
O desenvolvimento ocorre em meio a uma disputa contínua entre o fundador do WordPress, Matt Mullenweg, e o provedor de hospedagem WP Engine, com o WordPress.org gerenciando o mais recente plugin Advanced Custom Fields (ACF) para construir seu próprio fork chamado Secure Custom Fields.
“O SCF foi atualizado para remover itens comerciais e corrigir um problema de segurança”, disse Mllenweg. “Esta atualização é a menor solução possível para um problema de segurança.”
O WordPress não revelou a natureza exata do problema de segurança, mas disse que estava relacionado ao $_REQUEST. Ele também disse que o problema foi resolvido na versão 6.3.6.2 do Secure Custom Fields.
“O código deles é atualmente inseguro e é um abandono de seu dever para com os clientes dizer às pessoas para evitarem campos personalizados seguros até que corrijam sua vulnerabilidade”, observou WordPress. “Nós os informamos sobre isso em particular, mas eles não responderam.”
WP Engine, em um post no X, disse que o WordPress nunca “de forma conivente e forçada” tomou um plugin avançado “de seu criador sem permissão”.
Em resposta, o WordPress disse que “isso já aconteceu várias vezes antes” e que se reserva o direito de desabilitar ou remover qualquer plugin do diretório, remover o acesso do desenvolvedor ao plugin ou alterá-lo “sem o consentimento do desenvolvedor” para o benefício de o público. segurança.
