Jetpack WordPress eklentisinin geliştiricileri, oturum açmış kullanıcıların bir sitede başkaları tarafından gönderilen formlara erişmesine olanak tanıyan kritik bir güvenlik açığını gidermek için bir güvenlik güncellemesi yayınladı.
WordPress yapımcısı Automattic’in sahibi olduğu Jetpack, site güvenliğini, performansını ve trafik artışını iyileştirmek için kapsamlı bir araç paketi sunan hepsi bir arada bir eklentidir. Web sitesine göre 27 milyon WordPress sitesinde kullanılıyor.
Sorunun Jetpack tarafından bir iç güvenlik denetimi sırasında tespit edildiği ve 2016 yılında yayımlanan 3.9.9 sürümünden bu yana devam ettiği söyleniyor.
Jetpack’ten Jeremy Herve, güvenlik açığının Jetpack’teki İletişim Formu özelliğinde bulunduğunu ve “sitede oturum açmış herhangi bir kullanıcı tarafından, sitedeki ziyaretçiler tarafından gönderilen formları okumak için kullanılabileceğini” söyledi.
Jetpack, eklentinin yüklü sitelerde otomatik olarak güvenli bir sürüme güncellenmesi için WordPress.org Güvenlik Ekibi ile yakın işbirliği içinde çalıştığını söyledi.
Bu eksiklik Jetpack’in aşağıdaki 101 farklı sürümünde giderilmiştir:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Bu güvenlik açığının şimdiye kadar istismar edildiğine dair bir kanıt bulunmamakla birlikte, kamuya açıklanması halinde ileride kötüye kullanılması olasılığı bulunmaktadır.
Jetpack’in Haziran 2023’te Jetpack eklentisinde Kasım 2012’den bu yana mevcut olan başka bir kritik kusur için benzer düzeltmeler sunduğunu belirtmekte fayda var.
Bu gelişme, WordPress’in kurucusu Matt Mullenweg ile barındırma sağlayıcısı WP Engine arasında devam eden bir anlaşmazlığın ortasında geldi; WordPress.org, Güvenli Özel Alanlar adı verilen kendi çatalını oluşturmak için ikincisinin Gelişmiş Özel Alanlar (ACF) eklentisinin kontrolünü ele geçirdi.
Mullenweg, “SCF, ticari satışları ortadan kaldırmak ve bir güvenlik sorununu çözmek için güncellendi” dedi. “Bu güncelleme, güvenlik sorununu düzeltmek için mümkün olduğunca minimum düzeydedir.”
WordPress, güvenlik sorununun kesin doğasını açıklamadı ancak bunun $_REQUEST ile ilgili olduğunu söyledi. Ayrıca sorunun Güvenli Özel Alanlar’ın 6.3.6.2 sürümünde ele alındığı belirtildi.
WordPress, “Kodları şu anda güvensiz ve insanlara güvenlik açıklarını giderene kadar Güvenli Özel Alanlardan kaçınmalarını söylemeleri müşterilere karşı görevlerini ihmal etmek anlamına geliyor” dedi. “Bu konuyu onlara da özel olarak bildirdik ancak yanıt vermediler.”
WP Engine, X’teki bir gönderide, WordPress’in hiçbir zaman “tek taraflı ve zorla” aktif olarak geliştirilen bir eklentiyi “yaratıcısından izinsiz olarak” almadığını iddia etti.
Yanıt olarak WordPress, “bunun daha önce birkaç kez gerçekleştiğini” ve herhangi bir eklentiyi dizinden devre dışı bırakma veya kaldırma, geliştiricinin bir eklentiye erişimini kaldırma veya kamu yararına “geliştiricinin izni olmadan” değiştirme hakkını saklı tuttuğunu söyledi. emniyet.