مالکیت وبسایت WordPress.com توسط شرکت Automattic، با همکاری تیم امنیت وردپرس، شروع به نصب اجباری یک پچ امنیتی بر روی میلیونها وبسایت، به منظور رفع یک آسیبپذیری بحرانی در افزونه Jetpack کرده است. Jetpack یک افزونه بسیار محبوب است که امکانات رایگانی را ارائه میدهد که شامل بهبودهای امنیتی، عملکرد و مدیریت وبسایت میشود، از جمله پشتیبانگیری از سایت، محافظت در برابر حملات نیروی کلمه عبور، ورود امن، اسکن بدافزار و غیره است. بر اساس مخزن رسمی افزونه وردپرس، این افزونه توسط شرکت Automattic حدود 5 میلیون نصب فعال دارد. شرکت در حین یک بازرسی امنیتی داخلی، یک آسیبپذیری در رابط برنامهنویسی API در دسترس در Jetpack از نسخه 2.0، که در سال 2012 منتشر شد، پیدا کرده است.
نسخه هایی که در این بروزرسانی منتشر شده موارد زیر است. اگر از این نسخه ها استفاده میشود، سایت آسیب پذیر نیست.
2.0.9, 2.1.7, 2.2.10, 2.3.10, 2.4.7, 2.5.5, 2.6.6, 2.7.5, 2.8.5, 2.9.6, 3.0.6, 3.1.5, 3.2.5, 3.3.6, 3.4.6, 3.5.6, 3.6.4, 3.7.5, 3.8.5, 3.9.9, 4.0.6, 4.1.3, 4.2.4, 4.3.4, 4.4.4, 4.5.2, 4.6.2, 4.7.3, 4.8.4, 4.9.2, 5.0.2, 5.1.3, 5.2.4, 5.3.3, 5.4.3, 5.5.4, 5.6.4, 5.7.4, 5.8.3, 5.9.3, 6.0.3, 6.1.4, 6.2.4, 6.3.6, 6.4.5, 6.5.3, 6.6.4, 6.7.3, 6.8.4, 6.9.3, 7.0.4, 7.1.4, 7.2.4, 7.3.4, 7.4.4, 7.5.6, 7.6.3, 7.7.5, 7.8.3, 7.9.3, 8.0.2, 8.1.3, 8.2.5, 8.3.2, 8.4.4, 8.5.2, 8.6.3, 8.7.3, 8.8.4, 8.9.3, 9.0.4, 9.1.2, 9.2.3, 9.3.4, 9.4.3, 9.5.4, 9.6.3, 9.7.2, 9.8.2, 9.9.2, 10.0.1, 10.1.1, 10.2.2, 10.3.1, 10.4.1, 10.5.2, 10.6.2, 10.7.1, 10.8.1, 10.9.2, 11.0.1, 11.1.3, 11.2.1, 11.3.3, 11.4.1, 11.5.2, 11.6.1, 11.7.2, 11.8.5, 11.9.2, 12.0.1, 12.1.1.
توصیه:
باید نسخه Jetpack را به بهروز کرد تا امنیت وبسایت تأمین شود. نسخههای قابل پچ شدن هر نسخه از Jetpack از نسخه 2.0 به بعد را منتشر شده است. بیشتر وبسایتها به صورت خودکار به نسخهای امن بهروز شدهاند یا بهزودی خواهند شد. این اولین بار نیست که وردپرس از روشهای خودکار برای انتشار بهروزرسانیهای امن برای رفع مسائل بحرانی در پلاگینها یا نصبهای وردپرس استفاده میکند. Automattic گفته است ، موردی در خصوص اکسپلویت این آسیب پذیری مشاهده نکرده است اما ممکن است بعد از افشای عمومی، مورد توجه هکرها قرار بگیرد.
مراجع
- 76