Разработчики Automattic и специалисты команды безопасности WordPress развертывают принудительное обновление безопасности для миллионов сайтов. Патч устраняет критическую уязвимость в плагине Jetpack.
Jetpack насчитывает около 5 млн установок и предоставляет пользователям бесплатные функции для безопасности, производительности и управления сайтом, включая защиту от брутфорс-атак, резервное копирование, безопасный вход в систему и сканирование на наличие вредоносных программ. Плагин создан и поддерживается самой компанией Automattic.
«В ходе внутреннего аудита безопасности мы выявили уязвимость в API, доступном в Jetpack, начиная с версии 2.0, выпущенной в 2012 году, — рассказывают разработчики. — Эта уязвимость может использоваться авторами на сайте с целью манипулирования любыми файлами в WordPress».
Патч вошел в состав Jetpack 12.1.1, и эта версия была автоматически распространена на все сайты под управлением WordPress, использующие плагин. Согласно официальной статистике, развертывание обновления уже успешно завершено, и большинство сайтов теперь автоматически обновлены до последней защищенной версии.
Инженеры Automattic предупреждают, что хотя признаков эксплуатации уязвимости обнаружено не было, злоумышленники, вероятно, скоро узнают подробности проблемы и создадут эксплоиты для атак на непропатченные сайты.
«Пожалуйста, обновите свою версию Jetpack как можно скорее, чтобы обеспечить безопасность вашего ресурса. Чтобы помочь вам в этом процессе, мы тесно сотрудничали с командой безопасности WordPress.org и выпустили исправления для каждой версии Jetpack, начиная с 2.0. Большинство сайтов уже были или будут автоматически обновлены до защищенной версии в ближайшее время», — гласит официальное сообщение.
