De beheerders van de Jetpack WordPress-plug-in hebben een beveiligingsupdate uitgebracht om een kritieke kwetsbaarheid te verhelpen waardoor ingelogde gebruikers toegang kunnen krijgen tot formulieren die door anderen op een site zijn ingediend.
Jetpack, eigendom van WordPress-maker Automattic, is een alles-in-één plug-in die een uitgebreid pakket tools biedt om de veiligheid, prestaties en verkeersgroei van de site te verbeteren. Volgens de website wordt het op 27 miljoen WordPress-sites gebruikt.
Het probleem zou door Jetpack zijn geïdentificeerd tijdens een interne beveiligingsaudit en blijft bestaan sinds versie 3.9.9, uitgebracht in 2016.
Het beveiligingslek zit in de contactformulierfunctie in Jetpack en “kan door alle ingelogde gebruikers op een site worden gebruikt om formulieren te lezen die door bezoekers op de site zijn ingediend”, aldus Jeremy Herve van Jetpack.
Jetpack zei dat het nauw heeft samengewerkt met het WordPress.org Security Team om de plug-in automatisch bij te werken naar een veilige versie op geïnstalleerde sites.
De tekortkoming is verholpen in de volgende 101 verschillende versies van Jetpack:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Hoewel er geen bewijs is dat de kwetsbaarheid ooit in het wild is uitgebuit, is de kans groot dat er in de toekomst misbruik van kan worden gemaakt in het licht van publieke onthullingen.
Het is vermeldenswaard dat Jetpack in juni 2023 vergelijkbare oplossingen heeft uitgerold voor een andere kritieke fout in de Jetpack-plug-in die al sinds november 2012 bestond.
De ontwikkeling komt te midden van een aanhoudend geschil tussen WordPress-oprichter Matt Mullenweg en hostingprovider WP Engine, waarbij WordPress.org de controle over de Advanced Custom Fields (ACF) -plug-in van laatstgenoemde overneemt om zijn eigen fork te creëren, genaamd Secure Custom Fields.
“SCF is bijgewerkt om commerciële upsells te verwijderen en een beveiligingsprobleem op te lossen”, aldus Mullenweg. “Deze update is zo minimaal mogelijk om het beveiligingsprobleem op te lossen.”
WordPress heeft de exacte aard van het beveiligingsprobleem niet bekendgemaakt, maar zegt dat het te maken heeft met $_REQUEST. Verder werd vermeld dat het probleem is verholpen in versie 6.3.6.2 van Secure Custom Fields.
“Hun code is momenteel onveilig en het is een schending van hun plicht jegens klanten als ze mensen vertellen dat ze beveiligde aangepaste velden moeten vermijden totdat ze hun kwetsbaarheid hebben opgelost”, aldus WordPress. “We hebben hen daar ook privé van op de hoogte gesteld, maar ze hebben niet gereageerd.”
WP Engine beweerde in een bericht op X dat WordPress nooit “eenzijdig en met geweld” een actief ontwikkelde plug-in heeft overgenomen “zonder toestemming van de maker ervan.”
Als reactie hierop zei WordPress: “Dit is al meerdere keren eerder gebeurd”, en dat het zich het recht voorbehoudt om plug-ins uit de map uit te schakelen of te verwijderen, de toegang van ontwikkelaars tot een plug-in te verwijderen of deze te wijzigen “zonder toestemming van de ontwikkelaar” in het belang van het publiek. veiligheid.
