L’aggiornamento urgente di WordPress risolve un difetto critico nel plug-in Jetpack su milioni di siti
WordPress ha rilasciato un aggiornamento automatico per risolvere un difetto critico nel Plug-in Jetpack installato su oltre cinque milioni di siti.
La vulnerabilità, scoperta durante un audit di sicurezza interno, risiede da allora in un’API presente nel plugin versione 2.0che è stato rilasciato nel novembre 2012.
“Questa vulnerabilità potrebbe essere utilizzata dagli autori di un sito per manipolare qualsiasi file nell’installazione di WordPress,” Jetpack disse in un consulto. Sono state rilasciate 102 nuove versioni di Jetpack per correggere il bug.
Sebbene non ci siano prove che il problema sia stato sfruttato in modo selvaggio, non è raro che i difetti nei popolari plugin di WordPress vengano sfruttati da autori di minacce che cercano di prendere il controllo dei siti per scopi dannosi.
Questa non è la prima volta che gravi debolezze di sicurezza in Jetpack hanno spinto WordPress a forzare l’installazione delle patch.
Nel novembre 2019 è stato rilasciato Jetpack versione 7.9.1 per correggere un difetto nel modo in cui il plugin gestiva il codice di incorporamento che esisteva da luglio 2017 (versione 5.1).
Lo sviluppo arriva anche come Patchstack rivelato una falla di sicurezza nel plugin premium Gravity Forms che potrebbe consentire a un utente non autenticato di iniettare codice PHP arbitrario.
Il problema (CVE-2023-28782) interessa tutte le versioni dalla 2.7.3 in poi. Il problema è stato risolto nella versione 2.7.4, resa disponibile l’11 aprile 2023.