Los mantenedores del complemento Jetpack WordPress han lanzado una actualización de seguridad para remediar una vulnerabilidad crítica que podría permitir a los usuarios registrados acceder a formularios enviados por otros en un sitio.
Jetpack, propiedad del fabricante de WordPress Automattic, es un complemento todo en uno que ofrece un conjunto completo de herramientas para mejorar la seguridad, el rendimiento y el crecimiento del tráfico del sitio. Se utiliza en 27 millones de sitios de WordPress, según su sitio web.
Se dice que Jetpack identificó el problema durante una auditoría de seguridad interna y ha persistido desde la versión 3.9.9, lanzada en 2016.
La vulnerabilidad reside en la función Formulario de contacto de Jetpack y “podría ser utilizada por cualquier usuario que haya iniciado sesión en un sitio para leer los formularios enviados por los visitantes del sitio”, dijo Jeremy Herve de Jetpack.
Jetpack dijo que trabajó estrechamente con el equipo de seguridad de WordPress.org para actualizar automáticamente el complemento a una versión segura en los sitios instalados.
La deficiencia se ha solucionado en las siguientes 101 versiones diferentes de Jetpack:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Si bien no hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en la naturaleza, existe la posibilidad de que se pueda abusar de ella en el futuro a la luz de su divulgación pública.
Vale la pena señalar que Jetpack implementó correcciones similares para otra falla crítica en el complemento Jetpack en junio de 2023 que existía desde noviembre de 2012.
El desarrollo se produce en medio de una disputa en curso entre el fundador de WordPress Matt Mullenweg y el proveedor de alojamiento WP Engine, con WordPress.org tomando el control del complemento Advanced Custom Fields (ACF) de este último para crear su propia bifurcación llamada Secure Custom Fields.
“SCF se ha actualizado para eliminar las ventas adicionales comerciales y solucionar un problema de seguridad”, dijo Mullenweg. “Esta actualización es lo más mínima posible para solucionar el problema de seguridad”.
WordPress no reveló la naturaleza exacta del problema de seguridad, pero dijo que tiene que ver con $_REQUEST. Dijo además que el problema se solucionó en la versión 6.3.6.2 de Secure Custom Fields.
“Su código es actualmente inseguro, y es un incumplimiento de su deber hacia los clientes decirle a la gente que evite los campos personalizados seguros hasta que solucionen su vulnerabilidad”, señaló WordPress. “También les hemos notificado esto en privado, pero no respondieron”.
WP Engine, en una publicación en X, afirmó que WordPress nunca ha tomado “unilateral y por la fuerza” un complemento desarrollado activamente “de su creador sin consentimiento”.
En respuesta, WordPress dijo que “esto ha sucedido varias veces antes” y que se reserva el derecho de deshabilitar o eliminar cualquier complemento del directorio, eliminar el acceso de los desarrolladores a un complemento o cambiarlo “sin el consentimiento del desarrollador” en interés del público. seguridad.