کمپانی Automattic ، یه هشداری رو در خصوص یه آسیب پذیری بحرانی در پلاگین وردپرسی Jetpack منتشر کرده.
پلاگین Jetpack یه پلاگین خیلی محبوب هستش که، یسری ویژگی امنیتی ، افزایش کارایی و سهولت مدیریت سایت از جمله بک آپ گیری ساده، محافظت در برابر حملات brute-force، لاگین امن ، اسکن بدافزار و … رو در اختیار ادمین ها قرار میده.
این پلاگین توسط Automattic ، توسعه و نگهداری میشه و هم اکنون بیش از 5 میلیون نصب فعال داره.
Automattic گفته این آسیب پذیری رو در جریان ارزیابی کد پیدا کرده و آسیب پذیری در API این پلاگین هستش و از نسخه 2.0 که در سال 2012 منتشر شده وجود داشته.
آسیب پذیری به نویسندگان (authors) سایت امکان میده تا هر فایلی رو در نصب وردپرس دستکاری کنن.
نسخه هایی که در این بروزرسانی منتشر شده موارد زیر هستش. اگه از این نسخه ها استفاده میکنید، سایتتون آسیب پذیر نیست.
2.0.9, 2.1.7, 2.2.10, 2.3.10, 2.4.7, 2.5.5, 2.6.6, 2.7.5, 2.8.5, 2.9.6, 3.0.6, 3.1.5, 3.2.5, 3.3.6, 3.4.6, 3.5.6, 3.6.4, 3.7.5, 3.8.5, 3.9.9, 4.0.6, 4.1.3, 4.2.4, 4.3.4, 4.4.4, 4.5.2, 4.6.2, 4.7.3, 4.8.4, 4.9.2, 5.0.2, 5.1.3, 5.2.4, 5.3.3, 5.4.3, 5.5.4, 5.6.4, 5.7.4, 5.8.3, 5.9.3, 6.0.3, 6.1.4, 6.2.4, 6.3.6, 6.4.5, 6.5.3, 6.6.4, 6.7.3, 6.8.4, 6.9.3, 7.0.4, 7.1.4, 7.2.4, 7.3.4, 7.4.4, 7.5.6, 7.6.3, 7.7.5, 7.8.3, 7.9.3, 8.0.2, 8.1.3, 8.2.5, 8.3.2, 8.4.4, 8.5.2, 8.6.3, 8.7.3, 8.8.4, 8.9.3, 9.0.4, 9.1.2, 9.2.3, 9.3.4, 9.4.3, 9.5.4, 9.6.3, 9.7.2, 9.8.2, 9.9.2, 10.0.1, 10.1.1, 10.2.2, 10.3.1, 10.4.1, 10.5.2, 10.6.2, 10.7.1, 10.8.1, 10.9.2, 11.0.1, 11.1.3, 11.2.1, 11.3.3, 11.4.1, 11.5.2, 11.6.1, 11.7.2, 11.8.5, 11.9.2, 12.0.1, 12.1.1.
با توجه به همکاری که با تیم امنیتی WordPress.org داشتن، این بروزرسانی بصورت خودکار نصب میشه یا در حال نصب روی سایتهای وردپرسی هستش. در زمان نگارش این پست ، 5,057,786 سایت، بروزرسانی رو اعمال کردن.
Automattic گفته که ، موردی در خصوص اکسپلویت این آسیب پذیری مشاهده نکرده اما ممکنه بعد از افشای عمومیش، مورد توجه هکرها قرار بگیره.