Table of Contents
Atualização Crítica de Segurança no Plugin Jetpack
Os mantenedores do plugin Jetpack do WordPress anunciaram uma atualização de segurança para corrigir uma vulnerabilidade crítica que poderia permitir que usuários logados acessassem formulários submetidos por outros em um site.
Sobre o Jetpack
O Jetpack, propriedade da Automattic, criadora do WordPress, é um plugin all-in-one que oferece um conjunto abrangente de ferramentas para melhorar a segurança, o desempenho e o crescimento do tráfego em sites. De acordo com informações de seu site oficial, é utilizado em 27 milhões de sites WordPress segundo a sua página.
Identificação da Vulnerabilidade
A questão foi identificada pelo Jetpack durante uma auditoria interna de segurança e persistiu desde a versão 3.9.9, lançada em 2016.
A vulnerabilidade reside no recurso de Contact Form do Jetpack e “pode ser utilizada por qualquer usuário logado em um site para ler formulários enviados por visitantes”, afirmou Jeremy Herve, do Jetpack disse.
Ações Corretivas
O Jetpack informou que trabalhou em estreita colaboração com a Equipe de Segurança do WordPress.org para atualizar automaticamente o plugin para uma versão segura nos sites instalados.
Versões Afetadas
A falha foi corrigida em 101 versões diferentes do Jetpack, incluindo:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Risco e Medidas Futuras
Embora não haja evidências de que a vulnerabilidade tenha sido explorada na prática, existe a probabilidade de que possa ser abusada no futuro em razão da divulgação pública.
Contexto das Atualizações de Segurança
Vale ressaltar que o Jetpack lançou atualizações semelhantes para outra falha crítica no plugin em junho de 2023, que existia desde novembro de 2012.
Disputa Recentes no Ecossistema WordPress
O desenvolvimento ocorre em meio a uma disputa em andamento entre o fundador do WordPress, Matt Mullenweg, e o provedor de hospedagem WP Engine. A situação se intensificou com o WordPress.org assumindo o controle do plugin Advanced Custom Fields (ACF) do WP Engine para criar seu próprio fork denominado Secure Custom Fields.
Mullenweg observou que “SCF foi atualizado para remover upsells comerciais e corrigir um problema de segurança”. “Essa atualização é a mais mínima possível para resolver a questão de segurança”.
Problemas de Segurança Anunciados
A WordPress não divulgou a natureza exata do problema de segurança, mas mencionou que está relacionado ao $_REQUEST
. Além disso, afirmou que a questão foi tratada na versão 6.3.6.2 do Secure Custom Fields.
Postura da WordPress e Resposta do WP Engine
A WordPress destacou que “o código deles está atualmente inseguro, e é uma irresponsabilidade não comunicar aos clientes para evitar o Secure Custom Fields até que resolvam sua vulnerabilidade”. Adicionalmente, eles informaram que tentaram notificá-los de forma privada, mas não obtiveram retorno.
Em uma postagem no X, o WP Engine afirmou que o WordPress nunca “tomou unilateralmente e forçosamente” um plugin em desenvolvimento ativo “do seu criador sem consentimento”.
Em resposta, o WordPress indicou que “isso já aconteceu várias vezes antes”, e que reserva-se o direito de desativar ou remover qualquer plugin do diretório, de retirar o acesso do desenvolvedor a um plugin ou de alterá-lo “sem o consentimento do desenvolvedor” em prol da segurança pública.
#Jetpack #WordPress #Segurança #Atualização #Vulnerabilidade
Fonte:https://thehackernews.com/2024/10/wordpress-plugin-jetpack-patches-major.html