Недавно WordPress принудительно установил патч на более чем пяти миллионах веб-сайтов, чтобы защитить их от недавно обнаруженной фатальной ошибки.
Ошибка была обнаружена в Jetpack, одном из самых популярных плагинов для известного конструктора сайтов, который предлагает дополнительные функции безопасности, производительности и управления сайтом.
По данным Automattic, материнской компании WordPress, у плагина более пяти миллионов активных установок. Администраторы используют его для защиты своих веб-сайтов, защиты от атак методом грубой силы, сканирования на наличие вредоносных программ и многого другого.
Большинство веб-сайтов защищены
«Во время внутренней проверки безопасности мы обнаружили уязвимость в API, доступном в Jetpack, начиная с версии 2.0, выпущенной в 2012 году, — сказал Джереми Эрве, инженер по работе с разработчиками. «Эта уязвимость может быть использована авторами веб-сайтов для манипулирования произвольными файлами в установке WordPress».
Согласно официальным данным WordPress, Jetpack 12.1.1 был загружен и установлен на более чем 4 350 000 веб-сайтов по состоянию на 30 мая. Данные. Это составляет около 45% всей экосистемы WordPress, что означает, что около 55% остаются незащищенными. Во избежание путаницы сюда входят как активные, так и неактивные установки. Похоже, что большинство активных веб-сайтов были исправлены.
По словам Эрве, нет никаких доказательств того, что уязвимостью злоупотребляют в дикой природе, добавив, что это, вероятно, изменится, как только уязвимость станет достоянием общественности.
«У нас нет доказательств того, что эта уязвимость была использована. Однако теперь, когда обновление выпущено, есть вероятность, что кто-то может попытаться воспользоваться этой уязвимостью», — добавил он.
«Пожалуйста, обновите версию Jetpack как можно скорее, чтобы обеспечить безопасность вашего сайта. Чтобы помочь вам в этом процессе, мы тесно сотрудничали с командой безопасности WordPress.org, чтобы выпустить исправленные версии каждой версии Jetpack, поскольку сайты 2.0 были или скоро будут автоматически обновлены до защищенной версии».
В последний раз WordPress принудительно устанавливал крупное обновление почти год назад, в июне 2022 года, когда был исправлен фатальный баг в Ninja Forms. Плагин, который на тот момент был установлен более миллиона раз, позволил потенциальным злоумышленникам полностью захватить уязвимый веб-сайт.
По словам исследователей, в отличие от уязвимости Jetpack, уязвимость Ninja Forms использовалась в дикой природе. Пользователям настоятельно рекомендуется убедиться, что их плагин обновлен до версии 3.6.11 на случай, если автоматическое обновление по какой-либо причине не удастся.
Выше: Пищит компьютер
