WordPressプラグインJetpackは本日未明、重要なセキュリティアップデートをリリースし、ログインしたユーザーが他の訪問者が送信したフォームにアクセスできる脆弱性に対処した。
JetpackはAutomattic社による人気のWordPressプラグインで、ウェブサイトの機能性、セキュリティ、パフォーマンスを強化するツールを提供する。同ベンダーによると、このプラグインは2700万ものウェブサイトにインストールされているという。
この問題は内部監査中に発見され、2016年にリリースされた3.9.9以降のすべてのJetpackバージョンに影響を与える。
“内部セキュリティ監査中に、2016年にリリースされたバージョン3.9.9以降のJetpackのコンタクトフォーム機能に脆弱性を発見しました。
“この脆弱性は、サイト上でログインしているユーザーであれば誰でも、サイト上の訪問者から送信されたフォームを読むことができる。”
Automatticは、影響を受ける101のバージョンのJetpackの修正プログラムをリリースした:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Jetpackに依存しているウェブサイトの所有者と管理者は、プラグインが自動的に上記のバージョンのいずれかにアップグレードされているかどうかを確認し、されていない場合は手動でアップグレードを実行する必要があります。
Jetpackは、その8年の歴史の中で悪意のあるアクターがこの欠陥を悪用したという証拠はないが、できるだけ早くパッチが適用されたリリースにアップグレードするようユーザーに助言していると述べている。
「この脆弱性が悪用されたという証拠はありません。しかし、アップデートがリリースされた今、誰かがこの脆弱性を利用しようとする可能性はある」とJetpackは警告している。
この欠陥に対する緩和策や回避策はないため、利用可能なアップデートを適用することが唯一の解決策であり、推奨される。
ユーザーがセキュリティ・アップデートを適用するまでの時間を確保するため、この欠陥とその悪用方法に関する技術的な詳細は今のところ伏せられている。
Comments