WordPress eklentisi Jetpack, oturum açmış bir kullanıcının siteye diğer ziyaretçiler tarafından gönderilen formlara erişmesine izin veren bir güvenlik açığını gideren kritik bir güvenlik güncellemesini bugün erken saatlerde yayınladı.
Jetpack, Automattic’in web sitesi işlevselliğini, güvenliğini ve performansını artırmaya yönelik araçlar sağlayan popüler bir WordPress eklentisidir. Satıcıya göre eklenti 27 milyon web sitesinde kurulu.
Sorun, bir iç denetim sırasında keşfedildi ve 2016’da yayımlanan 3.9.9’dan bu yana tüm Jetpack sürümlerini etkiliyor.
Güvenlik bülteninde, “Dahili bir güvenlik denetimi sırasında, Jetpack’in 2016 yılında yayımlanan 3.9.9 sürümünden bu yana İletişim Formu özelliğinde bir güvenlik açığı bulduk” deniyor.
“Bu güvenlik açığı, bir sitede oturum açmış herhangi bir kullanıcı tarafından, sitedeki ziyaretçiler tarafından gönderilen formları okumak için kullanılabilir.”
Automattic, tümü aşağıda listelenen, Jetpack’in etkilenen 101 sürümü için düzeltmeler yayımladı:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Jetpack’e güvenen web sitesi sahipleri ve yöneticilerinin, eklentilerinin yukarıda listelenen sürümlerden birine otomatik olarak yükseltilip yükseltilmediğini kontrol etmeleri ve eğer yükseltilmemişse manuel yükseltme yapmaları gerekir.
Jetpack, sekiz yıllık varlığı boyunca kötü niyetli aktörlerin kusurdan yararlandığına dair hiçbir kanıt bulunmadığını söylüyor ancak kullanıcılara mümkün olan en kısa sürede yamalı sürüme geçmelerini tavsiye ediyor.
Jetpack, “Bu güvenlik açığından yararlanıldığına dair hiçbir kanıtımız yok. Ancak güncelleme yayımlandığına göre birisinin bu güvenlik açığından yararlanmaya çalışması mümkün” diye uyardı.
Bu kusura yönelik herhangi bir azaltıcı veya geçici çözüm bulunmadığını, dolayısıyla mevcut güncellemeleri uygulamanın mevcut ve önerilen tek çözüm olduğunu unutmayın.
Kusurla ilgili teknik ayrıntılar ve bundan nasıl yararlanılabileceği, kullanıcılara güvenlik güncellemelerini uygulamaları için biraz zaman tanımak amacıyla şimdilik gizlendi.