WordPress, beş milyondan fazla sitede yüklü olan Jetpack eklentisindeki kritik bir kusuru gidermek için otomatik bir güncelleme yayınladı.
Dahili bir güvenlik denetimi sırasında ortaya çıkarılan güvenlik açığı, Kasım 2012’de piyasaya sürülen 2.0 sürümünden bu yana eklentide bulunan bir API’de bulunuyor.
Jetpack bir danışma belgesinde “Bu güvenlik açığı, bir sitedeki yazarlar tarafından WordPress kurulumundaki herhangi bir dosyayı değiştirmek için kullanılabilir.” Dedi. Hatayı gidermek için Jetpack’in 102 yeni sürümü yayınlandı.
Sorunun kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, popüler WordPress eklentilerindeki kusurların, siteleri kötü amaçlarla ele geçirmek isteyen tehdit aktörleri tarafından kullanılması alışılmadık bir durum değildir.
Bu, Jetpack’teki ciddi güvenlik zayıflıklarının WordPress’i yamaları yüklemeye zorlamaya ilk kez yöneltmiyor.
Kasım 2019’da Jetpack, eklentinin Temmuz 2017’den beri var olan yerleştirme kodunu işleme biçimindeki bir kusuru gidermek için 7.9.1 sürümünü yayınladı (sürüm 5.1).
Geliştirme ayrıca, Patchstack’in premium Gravity Forms eklentisinde kimliği doğrulanmamış bir kullanıcının rastgele PHP kodu enjekte etmesine izin verebilecek bir güvenlik açığı ortaya çıkarmasıyla birlikte gelir.
Sorun (CVE-2023-28782), 2.7.3 ve altındaki tüm sürümleri etkiliyor. 11 Nisan 2023’te kullanıma sunulan 2.7.4 sürümünde ele alınmıştır.