Su WordPress è stata identificata una nuova falla. Così come accaduto un paio di anni fa, il problema riguarda un plugin, in questo caso Jetpack.
Si tratta di uno dei plugin di WordPress più popolari. Incrementa la sicurezza, le performance e la crescita dei siti Web, grazie a una suite completa di strumenti tra cui backup e analisi del traffico, Jetpack Boost per ottimizzare le pagine e aumentare la velocità di caricamento e statistiche avanzate per aiutare il gestore a comprendere il proprio pubblico.
Tra gli altri strumenti è presente Contact Form, per aggiungere facilmente moduli di contatto con protezione anti-spam integrata.
La nuova vulnerabilità riguarda specificamente questa funzione, introdotta con la versione 3.9.9 del plugin.
In base alla falla, qualsiasi utente loggato avrebbe potuto potenzialmente leggere i moduli inviati da altri visitatori sullo stesso sito. "Non abbiamo prove che questa vulnerabilità sia stata sfruttata in natura", si legge nel post di Jeremy Hervé di Jetpack. L'invito è ad aggiornare al più presto: "Abbiamo lavorato a stretto contatto con il team dei plugin di WordPress.org per rilasciare patch di ogni versione dalla 3.9.9".
Le 101 versioni rilasciate sono, nel dettaglio:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Dopo la divulgazione, si teme che questo problema di sicurezza possa essere sfruttato in modo improprio da qualcuno.
Pertanto, è importante che gli utenti agiscano rapidamente. "Ci scusiamo per qualsiasi carico di lavoro extra che questo potrebbe comportare per voi oggi", scrivono dal team.
La criticità persiste dal 2016, anno di rilascio della v3.9.9. Ad oggi, gli utenti di Jetpack sono circa 27 milioni.
Fonte: hdblog.it
