Jetpack, un plugin WordPress estremamente popolare che fornisce una varietà di funzioni tra cui caratteristiche di sicurezza per circa cinque milioni di siti web, ha ricevuto un aggiornamento di sicurezza critico in seguito alla scoperta di un bug che si nascondeva inosservato dal 2012.
I manutentori di Jetpack, Automattic, annunciato martedì ha lavorato a stretto contatto con il team di sicurezza di WordPress per rilasciare una patch automatica per ogni versione di Jetpack a partire dalla 2.0.
La falla di sicurezza si trova nell’API di Jetpack ed è presente da quando è stata rilasciata la versione 2.0, oltre dieci anni fa, nel 2012.
IL vulnerabilitàche potrebbe consentire agli autori di un sito di manipolare qualsiasi file in un’installazione di WordPress, è stato scoperto durante un controllo di sicurezza interno.
Se sfruttata, la falla avrebbe potuto consentire a un hacker malintenzionato di modificare il contenuto di un sito Web, compromettendo la sicurezza di altri utenti e visitatori del sito Web.
La buona notizia è che Automattic afferma di non aver riscontrato alcuna prova che la vulnerabilità sia stata utilizzata per attacchi dannosi. Tuttavia, ciò non è una garanzia che la falla di sicurezza non sia stata sfruttata.
Anzi, ora che il problema è stato reso pubblico, potrebbero esserci tentativi più determinati da parte dei criminali informatici di sfruttare la falla, sottolineando l’importanza per tutti i siti Web vulnerabili basati su WordPress di garantire che eseguano una versione sicura di Jetpack.
Fortunatamente, WordPress dispone di un sistema ragionevolmente robusto per inviare automaticamente aggiornamenti di sicurezza critici in situazioni come questa, e quasi tutti i siti Web a rischio basati su WordPress sono probabilmente già stati aggiornati automaticamente a una versione sicura del plug-in Jetpack.
Jetpack, proprio come WordPress, è open source. Ciò significa che chiunque può controllare il codice sorgente e spesso si afferma che uno dei vantaggi dell’open source è che ciò significa che è più probabile che vengano trovate falle di sicurezza.
Eppure questa vulnerabilità della sicurezza è passata inosservata per oltre dieci anni.
Solo perché chiunque può controllare il codice open source per individuare eventuali vulnerabilità critiche della sicurezza, non significa necessariamente che qualcuno lo faccia.
Nota dell’editore: Le opinioni espresse in questo articolo dell’autore ospite sono esclusivamente quelle del collaboratore e non riflettono necessariamente quelle di Tripwire.