Af Eskil Sørensen, 01/06/23
En mere end 10 år gammel kritisk sårbarhed i Jetpack blev ’tvangspatchet’ på fem millioner WordPress-websteder.
Det skriver Security Week og Bleeping Computer.
Det er sket for at adressere en kritisk sårbarhed i et Wordpress-plugin, Jetpack. Jetpack tilbyder ironisk nok sikkerhedsfunktioner såsom malware-scanning, real-time backup og gendannelse, spam og beskyttelse mod brute-force mm.
Sårbarheden påvirker alle plugin-versioner siden Jetpack 2.0. Sårbarheden er særligt kritisk, da Jetpack har mere end fem millioner aktive installationer, hvilket gør Jetpack til et af de mest populære plugins. I alt 102 Jetpack-versioner skal være blevet opdateret i denne uge, og patchene er automatisk blevet rullet ud til brugerne.
Ifølge Automattic skulle der ikke være indikationer på, at sårbarheden er blevet udnyttet i ondsindede angreb. Men, som det hedder, er sårbarheder i populære WordPress-plugins kendt for at være attraktive mål for cyberkriminelle. Ikke mindst fordi WordPress er et af de mest anvendte CMS’er.
Anbefalingen lyder, at ejere af websteder bør sikre, at deres Jetpack-installationer er opdaterede. Automattic har leveret en komplet liste over de 102 plugin-versioner, der blev frigivet i denne uge.
Links:
https://www.bleepingcomputer.com/news/security/wordpress-force-installs-critical-jetpack-patch-on-5-million-sites/
https://www.securityweek.com/millions-of-wordpress-sites-patched-against-critical-jetpack-vulnerability/
https://jetpack.com/blog/jetpack-12-1-1-critical-security-update/