WordPress 插件 Jetpack 本月发布了一个重要的安全更新,解决了允许登录用户访问该网站其他访问者提交的表单的漏洞。
Jetpack 是 Automattic 推出的一款流行的 WordPress 插件,提供增强网站功能、安全性和性能的工具。据供应商称,该插件已安装在 2700 万个网站上。
该问题是在内部审计期间发现的,影响自 2016 年发布的 3.9.9 以来的所有 Jetpack 版本。
安全公告中写道:“在内部安全审计中,我们发现自 2016 年发布的 3.9.9 版本以来,Jetpack 中的联系表单功能存在漏洞。网站上的任何登录用户都可以利用此漏洞来读取网站上访问者提交的表单。”
Automattic 已发布针对 101 个受影响的 Jetpack 版本的修复程序,全部列表如下:
依赖 Jetpack 的网站所有者和管理员需要检查其插件是否已自动升级到上面列出的版本之一,如果没有,请执行手动升级。
Jetpack 表示,没有证据表明恶意分子在该漏洞存在八年的时间里利用了该漏洞,但安全起见,建议用户尽快升级到已修补的版本。
目前Jetpack 并未有证据表明此漏洞已被广泛利用。但是,既然更新已经发布,那么有人可能会尝试利用此漏洞。
需要注意的是,此漏洞没有缓解措施或解决方法,因此应用可用更新是唯一可用且推荐的解决方案。目前,有关该漏洞及其利用方式的技术细节目前已被隐瞒,以便用户有时间进行应用安全更新。
参考及来源:https://www.bleepingcomputer.com/news/security/jetpack-fixes-critical-information-disclosure-flaw-existing-since-2016/
