Команда разработчиков популярного плагина Jetpack выпустили новую версию 4.0.3, которая устраняет уязвимость, найденная в предыдущих версиях плагина начиная с 2.0. Рекомендуем всем пользователям Jetpack обновиться немедленно.
Jetpack — один из самых популярных плагинов для WordPress. Он включает в себя большое количество модулей, от создания галерей и рассылки в социальные сети, до защиты от перебора паролей и подсчета посещаемости.
По данным директории WordPress.org, Jetpack имеет почти 25 миллионов скачиваний, и активен на более 1 миллионе WordPress сайтов. Эта статистика не включает все сайты крупной сети WordPress.com, где Jetpack активен по умолчанию. Иными словами, данная уязвимость затрагивает несколько миллионов сайтов на WordPress.
Найденная XSS уязвимость позволяет злоумышленнику внедрять произвольный JavaScript код в записи и комментарии WordPress, при помощи которого можно прочитать куки вошедших пользователей, и в конечном итоге получить доступ к панели администрирования WordPress.
Для данного инцидента, команда безопасности проекта WordPress решила воспользоваться механизмом автоматических обновлений в ядре WordPress, и при помощи него обновить Jetpack до последней версии (в рамках установленной ветки) на всех сайтах с подобной поддержкой. Так же поступили ряд хостинг-провайдеров.
Если ваш сайт поддерживает автоматические обновления, то возможно плагин Jetpack уже был обновлен на вашем сайте, тем не менее мы рекомендуем это проверить, и в случае необходимости обновить плагин вручную. Скачать архив свежей версии Jetpack вы можете из директории WordPress.org.