پلاگین Jetpack وردپرس را فورا به روزرسانی کنید!

توسعه دهندگان پلاگین Jetpack وردپرس، چهاردهم اکتبر ۲۰۲۴، به روزرسانی امنیتی را برای رفع یک آسیب پذیری بحرانی منتشر کردند. این آسیب پذیری که در ویژگی فرم تماس Jetpack وجود دارد، به کاربر لاگین شده اجازه می‌دهد تا به فرم‌های ارسال شده توسط سایر بازدیدکنندگان سایت دسترسی پیدا کند.

Jetpack یک افزونه محبوب وردپرس متعلق به Automattic می‌باشد که مجموعه ابزارهای جامعی را برای بهبود عملکرد، امنیت و ایمنی وب سایت و رشد ترافیک آن ارائه می‌دهد. این افزونه بر روی 27 میلیون وب سایت وردپرس نصب شده است.

این باگ طی یک ممیزی داخلی کشف شد و تمام نسخه‌های Jetpack از ۳.۹.۹ که در سال 2016 منتشر شد تا به امروز را تحت تأثیر قرار می‌دهد. Automattic اصلاحاتی را برای 101 نسخه آسیب پذیر Jetpack منتشر کرده است که تمامی آنها در زیر لیست شده‌اند:

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10

صاحبان وب‌سایت‌ها و adminهایی که به پلاگین Jetpack متکی هستند باید بررسی کنند که آیا افزونه آنها به طور خودکار به یکی از نسخه‌های ذکر شده در بالا ارتقا یافته است یا خیر و اگر اینگونه نبود، به ‌روزرسانی را بصورت دستی اعمال کنند.

به گفته Jetpack، هیچ مدرکی دال بر سوء استفاده هکرها از این نقص در هشت سال گذشته وجود ندارد، اما به کاربران توصیه می‌شود که در اسرع وقت به نسخه اصلاح ‌شده ارتقا دهند.

جزئیات فنی در مورد این آسیب پذیری و نحوه اکسپلویت آن در حال حاضر در دست نیست تا به کاربران فرصت داده شود، پچ جدید را دریافت کنند.

این توسعه در بحبوحه اختلافات مداوم بین بنیانگذار وردپرس یعنی مت مولنوگ و ارائه دهنده هاست WP Engine انجام شده است و WordPress.org کنترل افزونه Advanced Custom Fields (ACF) اخیر را برای ایجاد فورک خود به نام (SCF) Secure Custom Fields در دست گرفته است.

به گفته مت مولنوگ، SCF برای حذف فروش‌های تجاری بالا و رفع یک مشکل امنیتی به روزرسانی شده است. وردپرس ماهیت دقیق این مشکل را فاش نکرده است اما اذعان داشت که مربوط به $_REQUESTمیباشد و در نسخه ۶.۳.۶.۲ Secure Custom Fields برطرف شده است.

WP Engine در پستی در X ادعا کرد که وردپرس هرگز یک افزونه فعال توسعه ‌یافته را «بدون رضایت» از سازنده‌اش «به‌طور یک‌جانبه و به زور» نگرفته است.

وردپرس نیز در پاسخ به WP Engine اعلام کرد که این اتفاق چندین بار رخ داده است و این حق را برای خود محفوظ می‌داند که هر افزونه‌ای را از فهرست راهنما، غیرفعال یا حذف کند، دسترسی توسعه‌ دهنده به یک افزونه را محدود نماید و یا آن را «بدون رضایت توسعه ‌دهنده» به نفع ایمنی عموم تغییر دهد.