Jetpack WordPress eklentisinin geliştiricileri, oturum açmış kullanıcıların bir sitede başkaları tarafından gönderilen formlara erişmesine olanak tanıyan kritik bir güvenlik açığını gidermek için bir güvenlik güncellemesi yayınladı.
WordPress yapımcısı Automattic’in sahibi olduğu Jetpack, hepsi bir arada eklenti Site güvenliğini, performansını ve trafik artışını iyileştirmek için kapsamlı bir araç paketi sunar. 27 milyon WordPress sitesinde kullanılıyor, kendi web sitesine göre.
Sorunun Jetpack tarafından bir iç güvenlik denetimi sırasında tespit edildiği ve 2016 yılında yayımlanan 3.9.9 sürümünden bu yana devam ettiği söyleniyor.
Jetpack’ten Jeremy Herve, güvenlik açığının Jetpack’teki İletişim Formu özelliğinde bulunduğunu ve “sitede oturum açmış herhangi bir kullanıcı tarafından, sitedeki ziyaretçiler tarafından gönderilen formları okumak için kullanılabileceğini” söyledi. söz konusu.
Jetpack, eklentiyi yüklü sitelerde otomatik olarak güvenli bir sürüme güncellemek için WordPress.org Güvenlik Ekibi ile yakın işbirliği içinde çalıştığını söyledi.
Bu eksiklik Jetpack’in aşağıdaki 101 farklı sürümünde giderilmiştir:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Bu güvenlik açığının şimdiye kadar istismar edildiğine dair bir kanıt bulunmamakla birlikte, kamuya açıklanması halinde ileride kötüye kullanılması olasılığı bulunmaktadır.
Jetpack’in Haziran 2023’te Jetpack eklentisinde Kasım 2012’den bu yana mevcut olan başka bir kritik kusur için benzer düzeltmeler sunduğunu belirtmekte fayda var.
Gelişme bir dönemde geliyor devam ediyor anlaşmazlık arasında WordPress kurucusu Matt Mullenweg ve barındırma sağlayıcısı WP Engine, WordPress.org’un Gelişmiş Özel Alanlar (ACF) eklentisinin kontrolünü ele geçirmesiyle kendi çatalını yarat Güvenli Özel Alanlar adı verilir.
Mullenweg, “SCF, ticari satışları ortadan kaldırmak ve bir güvenlik sorununu çözmek için güncellendi.” söz konusu. “Bu güncelleme, güvenlik sorununu düzeltmek için mümkün olduğunca minimum düzeydedir.”
WordPress, güvenlik sorununun kesin doğasını açıklamadı ancak bunun $_REQUEST ile ilgili olduğunu söyledi. Ayrıca sorunun Güvenli Özel Alanlar’ın 6.3.6.2 sürümünde ele alındığı belirtildi.
WordPress, “Kodları şu anda güvenli değil ve insanlara, güvenlik açıklarını giderene kadar Güvenli Özel Alanlardan kaçınmalarını söylemeleri müşterilere karşı görevlerini ihmal etmek anlamına geliyor.” not edildi. “Bu konuyu onlara da özel olarak bildirdik ancak yanıt vermediler.”
WP Engine, X’teki bir gönderide, talep edildi WordPress hiçbir zaman “tek taraflı ve zorla” aktif olarak geliştirilen bir eklentiyi “yaratıcısından izinsiz olarak” almamıştır.
Yanıt olarak WordPress “bunun daha önce de birkaç kez yaşandığını” söyledi ve şunu söyledi: hakkı saklıdır herhangi bir eklentiyi dizinden devre dışı bırakmak veya kaldırmak, geliştiricinin bir eklentiye erişimini kaldırmak veya bunu kamu güvenliği adına “geliştiricinin izni olmadan” değiştirmek.