وصله آسیب پذیری بحرانی در افزونه وردپرس Jetpack

ادمین های وردپرس مراقب باشید! وقت آن رسیده است که وب سایت های خود را به آخرین نسخه Jetpack به روز کنید چرا که این افزونه یک آسیب پذیری بحرانی را برطرف کرده است و داده های سایت را افشا می کند. در حالی که هیچ تلاشی برای بهره برداری فعال شناسایی نشده است، توسعه دهندگان از کاربران می خواهند که هرچه سریعترسایت خود را وصله کنند.

 برطبق توصیه‌های اخیر تیم پلاگین Jetpack، چندین سال است که یک نقص امنیتی جدی وجود دارد. بهره برداری از این نقص می توانست به یک مهاجم احراز هویت شده اجازه دهد به داده های داخلی سایت دسترسی پیدا کند. به طور خاص، این آسیب‌پذیری در ویژگی «فرم تماس» این افزونه وجود داشت. یک مهاجم احراز هویت شده و لاگین شده می تواند از این نقص برای دسترسی به فرم های ارسال شده در سایت، توسط سایر کاربران بهره برداری نماید. این امر می توانست به طور بالقوه منجر به نقض امنیتی برای سایت و کاربران شود.

قابل ذکر است که این آسیب پذیری به طور پنهانی برای چندین سال وجود داشت. طبق گفته تیم افزونه، این نقص برای اولین بار با ویژگی فرم های تماس که با نسخه 3.9.9 در سال 2016 منتشر شد ظاهر گشت. این بدان معناست که این تهدید به مدت 8 سال ادامه داشت و به طور بالقوه میلیون ها وب سایت را به خطر انداخت.

 خوشبختانه، این توسعه‌دهندگان تأیید کردند که هیچ تلاشی برای بهره‌برداری فعال برای این آسیب‌پذیری شناسایی نکرده‌اند. با این وجود، اکنون که جزئیات عمومی شده است، محققان از همه کاربران می خواهند تا سایت خود را به آخرین نسخه پلاگین Jetpack به روز کنند. آنها برای راحتی کار، تمام نسخه‌ها را در توصیه‌های خود فهرست کرده‌اند.

در اینجا لیست کاملی از 101 نسخه مختلف Jetpack است که امروز منتشر کردیم:

 13.9.1، 13.8.2، 13.7.1، 13.6.1، 13.5.1، 13.4.4، 13.3.2، 13.2.3، 13.1.4، 13.0.1، 12.9.4، 12.8.2، 12.7.2، 12.6.3، 12.5.1، 12.4.1، 12.3.1، 12.2.2، 12.1.2، 11.0.9. 3، 11.8.6، 11.7.3، 11.6.2، 11.5.3، 11.4.2، 11.3.4، 11.2.2، 11.1.4، 11.0.2، 10.9.3، 10.8.2، 10.7. 10.6.2، 10.5.3، 10.4.2، 10.3.2، 10.2.3، 10.1.2، 10.0.2، 9.9.3، 9.8.3، 9.7.3، 9.6.4، 9.5.5، 9.4. 4، 9.3.5، 9.2.4، 9.1.3، 9.0.5، 8.9.4، 8.8.5، 8.7.4، 8.6.4، 8.5.3، 8.4.5، 8.3.3، 8.2.6، 8.1.4، 8.0.3، 7.9.4، 7.8.4، 7.7.6، 7.6.4، 7.5.7، 7.4.5، 7.3.5، 7.2.5، 7.1.5، 7.0.5، 6.9. 4، 6.8.5، 6.7.4، 6.6.5، 6.5.4، 6.4.6، 6.3.7، 6.2.5، 6.1.5، 6.0.4، 5.9.4، 5.8.4، 5.7.5، 5.6.5، 5.5.5، 5.4.4، 5.3.4، 5.2.5، 5.1.4، 5.0.3، 4.9.3، 4.8.5، 4.7.4، 4.6.3، 4.5.3، 4.4. 5، 4.3.5، 4.2.5، 4.1.4، 4.0.7، 3.9.10.

این اولین باری نیست که Jetpack آسیب‌پذیری‌ای که سال‌ها ادامه دارد  را رفع می‌نماید. در ژوئن 2023، این تیم، آسیب‌پذیری دیگری را در این افزونه اصلاح نمود که می‌توانست به مهاجمان احراز هویت شده با نقش های نویسنده در یک سایت اجازه دهد تا فایل‌های نصب وردپرس را دستکاری کنند. این آسیب پذیری از سال 2012 وجود داشت و تقریباً 11 سال طول کشید تا یک وصله دریافت کند. خوشبختانه، در آن زمان نیز، این آسیب‌پذیری مورد توجه مجرمان قرار نگرفت و در نهایت توجه Jetpack را جلب نمود.

منبع:

https://latesthackingnews.com/2024/10/22/critical-vulnerability-patched-in-jetpack-wordpress-plugin/