WordPress ha emesso un aggiornamento automatico per affrontare un grave difetto nel plugin Jetpack, installato su oltre cinque milioni di siti. La vulnerabilità, che è stata scoperta durante un audit di sicurezza interno, risiede in un’API presente nel plugin dalla versione 2.0, che è stata rilasciata nel novembre 2012.
Il Pericolo del Difetto nel Plugin
“Questa vulnerabilità potrebbe essere utilizzata da autori su un sito per manipolare qualsiasi file nell’installazione di WordPress”, ha dichiarato Jetpack in un avviso. Sono state rilasciate 102 nuove versioni di Jetpack per risolvere il bug.
Nonostante non ci siano prove che il problema sia stato sfruttato sul campo, non è raro che i difetti nei plugin popolari di WordPress vengano utilizzati da attori minacciosi che cercano di prendere il controllo dei siti per scopi malevoli.
Precedenti Problemi di Sicurezza con Jetpack
Questa non è la prima volta che gravi debolezze di sicurezza in Jetpack hanno spinto WordPress a installare forzatamente le patch. Nel novembre 2019, Jetpack ha rilasciato la versione 7.9.1 per correggere un difetto nel modo in cui il plugin gestiva il codice incorporato che esisteva da luglio 2017 (versione 5.1).
Il rilascio dell’aggiornamento arriva anche mentre Patchstack ha rivelato un difetto di sicurezza nel plugin premium Gravity Forms che potrebbe permettere a un utente non autenticato di iniettare codice PHP arbitrario.
Risoluzione del Problema
Il problema (CVE-2023-28782) colpisce tutte le versioni dal 2.7.3 e inferiori. È stato risolto nella versione 2.7.4, che è stata resa disponibile il 11 aprile 2023.