Os mantenedores do plugin Jetpack WordPress lançaram uma atualização de segurança para corrigir uma vulnerabilidade crítica que poderia permitir que usuários logados acessassem formulários enviados por outras pessoas em um website.
Jetpack, de propriedade do fabricante do WordPress Automattic, é um plug-in completo que oferece um conjunto abrangente de ferramentas para melhorar a segurança, o desempenho e o crescimento do tráfego do website. É usado em 27 milhões de websites WordPress, de acordo com seu website.
O problema teria sido identificado pelo Jetpack durante uma auditoria interna de segurança e persiste desde a versão 3.9.9, lançada em 2016.
A vulnerabilidade reside no recurso Formulário de Contato do Jetpack e “pode ser usado por qualquer usuário logado em um website para ler formulários enviados por visitantes do website”, disse Jeremy Herve do Jetpack.
Jetpack disse que trabalhou em estreita colaboração com a equipe de segurança do WordPress.org para atualizar automaticamente o plugin para uma versão segura nos websites instalados.
A deficiência foi resolvida nas seguintes 101 versões diferentes do Jetpack –
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Embora não haja evidências de que a vulnerabilidade tenha sido explorada em estado selvagem, há uma probabilidade de que ela possa ser abusada no futuro, à luz da divulgação pública.
É importante notar que o Jetpack lançou correções semelhantes para outra falha crítica no plugin Jetpack em junho de 2023, que existia desde novembro de 2012.
O desenvolvimento ocorre em meio a uma disputa contínua entre o fundador do WordPress, Matt Mullenweg, e o provedor de hospedagem WP Engine, com o WordPress.org assumindo o controle do plugin Superior Customized Fields (ACF) deste último para criar seu próprio fork chamado Safe Customized Fields.
“O SCF foi atualizado para remover vendas adicionais e corrigir um problema de segurança”, disse Mullenweg. “Esta atualização é a mínima possível para corrigir o problema de segurança.”
O WordPress não revelou a natureza exata do problema de segurança, mas disse que tem a ver com $_REQUEST. Afirmou ainda que o problema foi resolvido na versão 6.3.6.2 do Safe Customized Fields.
“O código deles é atualmente inseguro e é um abandono de seu dever para com os clientes dizer às pessoas para evitarem campos personalizados seguros até que corrijam sua vulnerabilidade”, observou WordPress. “Também os notificamos sobre isso em specific, mas eles não responderam”.
WP Engine, em uma postagem no X, afirmou que o WordPress nunca “unilateralmente e à força” tomou um plugin desenvolvido ativamente “de seu criador sem consentimento”.
Em resposta, o WordPress disse que “isso já aconteceu várias vezes antes” e que se reserva o direito de desabilitar ou remover qualquer plugin do diretório, remover o acesso do desenvolvedor a um plugin ou alterá-lo “sem o consentimento do desenvolvedor” no interesse do público. segurança.