USD 67.68 ЕВРО 76.07

Уязвимость плагина WordPress ставит под угрозу более миллиона веб-сайтов

Экономика

Уязвимость Jetpack может быть использована, чтобы внедрить вредоносный код в комментарии


 
Владельцы сайтов на основе WordPress должны обновить плагин Jetpack как можно скорее из-за серьезной уязвимости, которая может поставить под угрозу их пользователей.
 
Jetpack является популярным плагином, предлагающим бесплатную оптимизацию веб-сайтам, управление и обеспечение безопасности. Он был разработан компанией Automattic, стоящей за проектом с открытым исходным кодом WordPress, и имеет более миллиона активных установок.
Исследователи из компании веб-безопасности Sucuri обнаружили уязвимость межсайтового скриптинга (XSS), которой подвержены все выпуски Jetpack с 2012 года, начиная с версии 2.0.
Проблема находится в модуле Shortcode Embeds Jetpack, который позволяет пользователям вставлять внешние видео, изображения, документы, твиты и другие ресурсы в их контент. Она может быть легко использована, чтобы внести вредоносный код JavaScript в комментарии.
JavaScript код будет выполняться в браузерах пользователей каждый раз, когда они рассматривают вредоносный комментарий. Это может быть использовано для кражи их аутентификационных куки, включая сессии администратора; перенаправления посетителей на эксплойты, или вставки спама поисковой оптимизации (SEO).
«Уязвимость может быть легко использована с помощью WP-комментариев, и мы рекомендуем всем установить обновление как можно скорее, если вы еще не сделали этого», сказал исследователь из Sucuri Марк-Александр Монтпас в своем блоге.
Сайты, которые не имеют активированного модуля Shortcode Embeds, не затронуты, но этот модуль обеспечивает популярные функциональные возможности, так что на множестве сайтов, скорее всего, эта функция включена.
Разработчики Jetpack в сотрудничестве с командой WordPress выпустили обновления для всех уязвимых версий через систему автоматического обновления WordPress. Jetpack версии 4.0.3 или более новых версий содержит исправление.
В случае, если пользователи не хотят обновляться до последней версии, разработчики Jetpack также выпустили релизы для двадцати одной уязвимых ветвей Jetpack: 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 и 4.0.3.