オープンソースの WordPress コンテンツ管理システムを開発する Automattic 社は、Jetpack WordPress プラグインの重大な脆弱性に対処するために、今日から何百万もの Web サイトにセキュリティ パッチの強制インストールを開始しました。
Jetpack は、サイトのバックアップ、ブルート フォース攻撃保護、安全なログイン、マルウェア スキャンなどを含む、セキュリティ、パフォーマンス、および Web サイト管理の改善を無料で提供する非常に人気のあるプラグインです。
公式 WordPress プラグイン リポジトリによると、このプラグインは Automattic によって管理されており、現在 500 万以上のアクティブなインストールが行われています。
「内部セキュリティ監査中に、2012 年にリリースされたバージョン 2.0 以降の Jetpack で利用可能な API に脆弱性が見つかりました」と Autotomatic デベロッパー リレーションズ エンジニアの Jeremy Herve 氏は述べています。
「サイトの作成者がこの脆弱性を利用して、WordPress インストール内のファイルを操作する可能性があります。」
Jetpack 12.1.1 は、プラグインを使用するすべての WordPress Web サイトに現在自動的に展開されているセキュリティ パッチで、本日展開を開始し、2.0 以降の Jetpack のすべてのバージョンを使用している4,130,000 以上のサイトにすでにインストールされています。
これは、ほとんどの脆弱な Web サイトがすでに最新の安全なバージョンに自動的に更新されており、残りの Web サイトにも間もなくパッチが適用されることを意味します。
Herve氏はまた、ウェブサイト管理者に対し、このバグが攻撃に悪用された形跡はないが、攻撃者が欠陥の詳細を把握し、パッチが適用されていないWordPressウェブサイトをターゲットにしたエクスプロイトを作成する可能性が高いため、サイトの安全を確保する必要があると警告した。
「この脆弱性が実際に悪用されたという証拠はありません。しかし、アップデートがリリースされた現在、何者かがこの脆弱性を悪用しようとする可能性があります」とエルベ氏は述べた。
「サイトのセキュリティを確保するために、できるだけ早く Jetpack のバージョンを更新してください。このプロセスを支援するために、私たちは WordPress.org セキュリティ チームと緊密に連携して、2.0 以降の Jetpack のすべてのバージョンのパッチ適用済みバージョンをリリースしてきました。ウェブサイトはすでに安全なバージョンに自動的に更新されているか、まもなく更新される予定です。」
Automattic が WordPress プラグインまたはインストールの重大な問題にパッチを適用するためにセキュリティ アップデートの自動展開を使用したのはこれが初めてではありません。
たとえば、WordPress 開発者の Samuel Wood 氏は2020 年 10 月に、 Automattic は WordPress 3.7 がリリースされて以来、このアプローチを使用して「プラグインのセキュリティ リリースを何度も」プッシュしてきたと述べました。
Comments