El complemento de WordPress Jetpack lanzó hoy una actualización de seguridad crítica, solucionando una vulnerabilidad que permitía a un usuario registrado acceder a formularios enviados por otros visitantes del sitio.
Jetpack es un popular complemento de WordPress de Automattic que proporciona herramientas para mejorar la funcionalidad, la seguridad y el rendimiento del sitio web. Dependiendo del proveedor, el complemento es instalado en 27 millones de sitios web.
El problema fue descubierto durante una auditoría interna y afecta a todas las versiones de Jetpack desde la 3.9.9, lanzada en 2016.
“Durante una auditoría de seguridad interna, descubrimos una vulnerabilidad en la funcionalidad del formulario de contacto de Jetpack desde la versión 3.9.9, lanzada en 2016”. lea el boletín de seguridad.
“Esta vulnerabilidad podría ser utilizada por cualquier usuario que haya iniciado sesión en un sitio para leer los formularios enviados por los visitantes del sitio”.
Automattic ha publicado correcciones para 101 versiones afectadas de Jetpack, todas enumeradas a continuación:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10Los propietarios y administradores de sitios web que dependen de Jetpack deben verificar si su complemento se ha actualizado automáticamente a una de las versiones enumeradas anteriormente y, en caso contrario, realizar una actualización manual.
Jetpack dice que no hay evidencia de que los malos actores hayan explotado la falla en sus ocho años de existencia, pero aconseja a los usuarios actualizar a una versión parcheada lo antes posible.
“No tenemos evidencia de que esta vulnerabilidad haya sido explotada en la naturaleza. Sin embargo, ahora que se lanzó la actualización, es posible que alguien intente explotar esta vulnerabilidad”, advirtió Jetpack.
Tenga en cuenta que no existen mitigaciones ni soluciones para esta falla, por lo que aplicar las actualizaciones disponibles es la única solución disponible y recomendada.
Los detalles técnicos sobre la falla y cómo se puede explotar se han retenido por ahora para darles tiempo a los usuarios para aplicar actualizaciones de seguridad.