WordPress ha publicado una actualización automática para corregir una falla crítica en el Complemento Jetpack que está instalado en más de cinco millones de sitios.
La vulnerabilidad, que se descubrió durante una auditoría de seguridad interna, reside en una API presente en el complemento desde versión 2.0que fue lanzado en noviembre de 2012.
“Esta vulnerabilidad podría ser utilizada por los autores en un sitio para manipular cualquier archivo en la instalación de WordPress”, Jetpack dicho en un aviso. Se lanzaron 102 nuevas versiones de Jetpack para remediar el error.
Si bien no hay evidencia de que el problema haya sido explotado en la naturaleza, no es raro que las fallas en los complementos populares de WordPress sean aprovechadas por los actores de amenazas que buscan apoderarse de los sitios con fines maliciosos.
Esta no es la primera vez que las debilidades de seguridad severas en Jetpack han llevado a WordPress a forzar la instalación de los parches.
En noviembre de 2019, Jetpack lanzó versión 7.9.1 para corregir un defecto en la forma en que el complemento manejaba el código de inserción que existía desde julio de 2017 (versión 5.1).
El desarrollo también viene como Patchstack reveló una falla de seguridad en el complemento premium Gravity Forms que podría permitir que un usuario no autenticado inyecte código PHP arbitrario.
El problema (CVE-2023-28782) afecta a todas las versiones a partir de la 2.7.3 y anteriores. Se ha abordado en la versión 2.7.4, que estuvo disponible el 11 de abril de 2023.