В популярном плагине для WordPress устранили критическую уязвимость, привнесенную в июле 2017 года с выпуском ветки 5.1. Администраторов сайтов призывают как можно скорее обновить расширение до актуальной сборки.

Проект с открытым исходным кодом Jetpack призван облегчить управление сайтом, а также повысить его безопасность и производительность. Плагин содержит набор инструментов для ускорения сайта, оптимизации настроек, адаптации под нужный профиль, мониторинга изменений, создания резервных копий, обеспечения базовой защиты от интернет-угроз.

Детали уязвимости, о которой идет речь, пока скудны. Известно лишь, что она связана с обработкой шорткодов WordPress, позволяющих динамически загружать на страницы заданные HTML-объекты с бэкенд-сервера. Данных об использовании этой проблемы в атаках на настоящий момент нет, однако после раскрытия информации такие попытки не исключены.

Уязвимость затрагивает Jetpack веток с 5.1 по 7.9 (новейшую). Патч включен в состав сборки 7.9.1; разработчики также совместно с ИБ-командой WordPress.org подготовили обновления для других затронутых веток и уже раздают их на сайты в автоматическом режиме. Установленный плагин можно также обновить через панель администратора или загрузить корректирующую версию вручную, открыв соответствующую страницу каталога плагинов WordPress.org.

Согласно статистике WordPress.com, в настоящее время Jetpack насчитывает свыше 5 млн активных установок. Около половины этих сайтов используют плагин версий ниже 7.7, чуть более 37% — версию 7.9. Благодаря автоматическому обновлению уязвимое расширение уже пропатчено более чем на 4 млн сайтов.

Категории: Уязвимости