Ngày 01 tháng 6 năm 2023Ravie LakshmananBảo mật trang web / WordPress
WordPress đã phát hành bản cập nhật tự động để giải quyết lỗ hổng nghiêm trọng trong plugin Jetpack được cài đặt trên hơn năm triệu trang web.
Lỗ hổng được phát hiện trong quá trình kiểm tra bảo mật nội bộ, nằm trong một API có trong plugin kể từ phiên bản 2.0, được phát hành vào tháng 11 năm 2012.
“Lỗ hổng này có thể được các tác giả trên một trang web sử dụng để thao tác với bất kỳ tệp nào trong quá trình cài đặt WordPress,” Jetpack cho biết trong một lời khuyên. 102 phiên bản mới của Jetpack đã được phát hành để khắc phục lỗi.
Mặc dù không có bằng chứng nào cho thấy vấn đề đã bị khai thác ngoài tự nhiên, nhưng không có gì lạ khi các lỗ hổng trong các plugin phổ biến của WordPress bị các tác nhân đe dọa lợi dụng để chiếm lấy các trang web nhằm mục đích xấu.
Đây không phải là lần đầu tiên các điểm yếu bảo mật nghiêm trọng trong Jetpack khiến WordPress buộc phải cài đặt các bản vá.
Vào tháng 11 năm 2019, Jetpack đã phát hành phiên bản 7.9.1 để sửa lỗi trong cách plugin xử lý mã nhúng đã tồn tại từ tháng 7 năm 2017 (phiên bản 5.1).
Sự phát triển cũng diễn ra khi Patchstack tiết lộ một lỗ hổng bảo mật trong plugin Gravity Forms cao cấp có thể cho phép người dùng không được xác thực đưa mã PHP tùy ý.
Sự cố (CVE-2023-28782) ảnh hưởng đến tất cả các phiên bản từ 2.7.3 trở xuống. Nó đã được giải quyết trong phiên bản 2.7.4, được cung cấp vào ngày 11 tháng 4 năm 2023.
