Уязвимость в популярном WordPress плагине может быть использована, чтобы внедрить вредоносный код в комментарии

Jetpack плагинВладельцам веб-сайтов на WordPress следует обновить плагин Jetpack как можно скорее из-за серьезного дефекта, который может подвергнуть их пользователей атакам.

Jetpack — популярный плагин, который предлагает бесплатную оптимизацию вебсайта, функции управления и безопасности. Он был разработан компанией Automattic, также создавшей WordPress.com и движок WordPress, и имеет более 1 миллиона активных установок.

Исследователи из фирмы веб-безопасности Sucuri нашли «межсайтовый скриптинг» (XSS), через который уязвимости подвержены все выпуски Jetpack с 2012 года, начиная с версии 2.0.

Проблема расположена в модуле Shortcode Embeds, который позволяет пользователям встраивать внешние видео, изображения, документы, твиты и другие ресурсы в свой контент. Он может быть с легкостью использован, чтобы ввести вредоносный JavaScript код в комментарии.

Так как JavaScript код повторяется, он будет выполняться в браузерах пользователей каждый раз, когда они просматривают этот вредоносный комментарий. Он может использоваться, чтобы украсть идентификационные куки, включая сеанс администратора; перенаправить посетителей к эксплоитам или ввести спам поисковой оптимизации (SEO).

«Уязвимость может быть легко использована через wp-comments, и мы рекомендуем всем обновиться как можно скорее, если вы это еще не сделали», сказал исследователь из Sucuri Марк-Александр Монпас в блоге.

Сайты, у которых не активирован модуль Shortcode Embeds, не затронуты, но этот модуль предоставляет популярную функциональность, так что у большинства сайтов он, вероятно, включен.

Разработчики Jetpack работали со службой безопасности WordPress, чтобы обновить всем затрагиваемые версии через систему автоматического обновления ядра WordPress. Версии Jetpack 4.0.3 и более новые содержат исправление.

В случае, если пользователи не хотят обновляться до последней версии, разработчики Jetpack также выпустили доработанные версии для каждой из двадцати одной уязвимой ветви кодовой базы Jetpack: 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6. 2, 3.7.3, 3.8.3, 3.9.7 и 4.0.3.