流行Wordpress插件的缺陷在危险之中推出超过一百万个网站
基于WordPress的网站的所有者应该尽快更新Jetpack插件,因为可能会使用户攻击攻击。
JetPack是一个流行的插件,提供免费网站优化,管理和安全功能。它是由Automattic,Wordpress.com的公司和WordPress开源项目的开发开发,拥有超过100万活跃安装。
来自Web安全公司Sucuri的研究人员发现了一个存储的跨站点脚本(XSS)漏洞,自2012年以来,从版本2.0开始影响所有Jetpack版本。
该问题位于短码内嵌入式JetPack模块,允许用户将外部视频,图像,文档,推文和其他资源嵌入到其内容中。它可以很容易地利用将恶意JavaScript代码注入评论。
由于JavaScript代码是持久的,它将在用户“每次查看恶意评论时在受影响的网站的上下文中执行”浏览器“。这可用于窃取其身份验证cookie,包括管理员的会话;重新定向访问者攻击,或注入搜索引擎优化(SEO)垃圾邮件。
“如果您还没有这样做,我们可以轻松地利用WP-评论来利用漏洞,我们建议每个人都忙于更新,”博客帖子中的Sucuri研究员Marc-Alexandre Montpas说。
Don“T具有可激活的短码嵌入模块的网站不受影响,但此模块提供了流行的功能,因此许多网站可能使其启用。
Jetpack开发人员已使用WordPress安全团队,以通过WordPress核心自动更新系统将更新推送到所有受影响的版本。Jetpack版本4.0.3或更新包含修复程序。
如果用户不想升级到最新版本,Jetpack开发人员也为Jetpack Codebase的所有二十个弱势分支发布了Point Post释放:2.0.7,2.1.5,2.2.8,2.3.8,2.4.5,2.5.3,2.6.4,2.7.3,2.8.3,2.9.4,3.0.4,3.1.3,3.2。 3,3.3.4,3.4.4,3.5.4,3.6.2,3.7.3,3.8.3,3.9.7和4.0.3。