Recentemente, i manutentori del plugin Jetpack per WordPress hanno rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità critica, scoperta durante un audit interno, che consentiva agli utenti registrati di accedere ai moduli inviati da altri visitatori del sito. Questa vulnerabilità in Jetpack ha interessato tutte le versioni del plugin a partire dalla 3.9.9 del 2016 e riguarda la funzione Contact Form.
Il plugin Jetpack, sviluppato da Automattic, è una suite completa di strumenti utilizzati da oltre 27 milioni di siti WordPress per migliorare la sicurezza, le prestazioni e la crescita del traffico.
Dettagli della vulnerabilità e aggiornamenti
La vulnerabilità scoperta consentiva agli utenti registrati di leggere i dati dei moduli inviati dai visitatori di un sito. Sebbene non ci siano prove di un utilizzo malevolo di questa falla fino ad oggi, la sua divulgazione pubblica potrebbe portare a tentativi di sfruttamento in futuro. Pertanto, i gestori di siti web che utilizzano Jetpack sono stati invitati ad aggiornare immediatamente il plugin.
Jetpack ha collaborato con il WordPress Security Team per rilasciare aggiornamenti di sicurezza automatici su tutte le installazioni interessate. L’aggiornamento coinvolge ben 101 versioni del plugin, a partire dalla versione 13.9.1 e retroattivamente fino alla versione 3.9.10.
Assenza di mitigazioni e raccomandazioni
Al momento, non sono disponibili soluzioni alternative per questa vulnerabilità. L’unico modo per proteggere i siti che utilizzano Jetpack è installare l’aggiornamento fornito. Jetpack ha anche specificato che, nonostante la vulnerabilità sia rimasta latente per otto anni, non sono state rilevate prove di attacchi informatici che abbiano sfruttato questa falla.
Il problema di Jetpack non è isolato: si tratta dell’ultimo di una serie di vulnerabilità che il plugin ha corretto negli anni, inclusa una risolta nel giugno 2023 che era presente fin dal 2012.
