Уязвимость в плагине Jetpack ставит под угрозу более миллиона сайтов

    От
    Виктор Попанов
    -
    0
    506

    Уязвимость в популярном WordPress плагине может быть использована, чтобы внедрить вредоносный код в комментарии

    Jetpack плагинВладельцам веб-сайтов на WordPress следует обновить плагин Jetpack как можно скорее из-за серьезного дефекта, который может подвергнуть их пользователей атакам.

    Jetpack – популярный плагин, который предлагает бесплатную оптимизацию вебсайта, функции управления и безопасности. Он был разработан компанией Automattic, также создавшей WordPress.com и движок WordPress, и имеет более 1 миллиона активных установок.

    Исследователи из фирмы веб-безопасности Sucuri нашли «межсайтовый скриптинг» (XSS), через который уязвимости подвержены все выпуски Jetpack с 2012 года, начиная с версии 2.0.

    Проблема расположена в модуле Shortcode Embeds, который позволяет пользователям встраивать внешние видео, изображения, документы, твиты и другие ресурсы в свой контент. Он может быть с легкостью использован, чтобы ввести вредоносный JavaScript код в комментарии.

    Так как JavaScript код повторяется, он будет выполняться в браузерах пользователей каждый раз, когда они просматривают этот вредоносный комментарий. Он может использоваться, чтобы украсть идентификационные куки, включая сеанс администратора; перенаправить посетителей к эксплоитам или ввести спам поисковой оптимизации (SEO).

    Уязвимость может быть легко использована через wp-comments, и мы рекомендуем всем обновиться как можно скорее, если вы это еще не сделали”, сказал исследователь из Sucuri Марк-Александр Монпас в блоге.

    Сайты, у которых не активирован модуль Shortcode Embeds, не затронуты, но этот модуль предоставляет популярную функциональность, так что у большинства сайтов он, вероятно, включен.

    Разработчики Jetpack работали со службой безопасности WordPress, чтобы обновить всем затрагиваемые версии через систему автоматического обновления ядра WordPress. Версии Jetpack 4.0.3 и более новые содержат исправление.

    В случае, если пользователи не хотят обновляться до последней версии, разработчики Jetpack также выпустили доработанные версии для каждой из двадцати одной уязвимой ветви кодовой базы Jetpack: 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6. 2, 3.7.3, 3.8.3, 3.9.7 и 4.0.3.

    Предыдущая статьяВсе слухи и предположения об iPhone 7 – Полный разбор
    Следующая статьяAsus представляет Zenbo, милого маленького робота с сенсорным лицом
    Виктор Попанов
    Виктор Попанов
    Эксперт тестовой лаборатории. Первый джойстик держал в руках в возрасте 3 лет. Первый компьютер, на котором „работал” был с процессором Intel i386DX-266. Тестирует оборудование для издания ITBusiness. Будь то анализ новейших гаджетов или устранение сложных неполадок, этот автор всегда готов к выполнению поставленной задачи. Его страсть к технологиям и приверженность качеству делают его бесценным помощником в любой команде.

    ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА