ГлавнаяПлагиныКритическая уязвимость в плагине Jetpack

Критическая уязвимость в плагине Jetpack

Команда разработчиков популярного плагина Jetpack выпустили новую версию 4.0.3, которая устраняет уязвимость, найденная в предыдущих версиях плагина начиная с 2.0. Рекомендуем всем пользователям Jetpack обновиться немедленно.

Обновление Jetpack для WordPress

Jetpack — один из самых популярных плагинов для WordPress. Он включает в себя большое количество модулей, от создания галерей и рассылки в социальные сети, до защиты от перебора паролей и подсчета посещаемости.

По данным директории WordPress.org, Jetpack имеет почти 25 миллионов скачиваний, и активен на более 1 миллионе WordPress сайтов. Эта статистика не включает все сайты крупной сети WordPress.com, где Jetpack активен по умолчанию. Иными словами, данная уязвимость затрагивает несколько миллионов сайтов на WordPress.

Найденная XSS уязвимость позволяет злоумышленнику внедрять произвольный JavaScript код в записи и комментарии WordPress, при помощи которого можно прочитать куки вошедших пользователей, и в конечном итоге получить доступ к панели администрирования WordPress.

Для данного инцидента, команда безопасности проекта WordPress решила воспользоваться механизмом автоматических обновлений в ядре WordPress, и при помощи него обновить Jetpack до последней версии (в рамках установленной ветки) на всех сайтах с подобной поддержкой. Так же поступили ряд хостинг-провайдеров.

Если ваш сайт поддерживает автоматические обновления, то возможно плагин Jetpack уже был обновлен на вашем сайте, тем не менее мы рекомендуем это проверить, и в случае необходимости обновить плагин вручную. Скачать архив свежей версии Jetpack вы можете из директории WordPress.org.

Подписаться на рассылку

Подписаться → Подпишитесь на бесплатную рассылку журнала WP Magazine и получайте новости, события, подборки тем и плагинов, уроки, советы и многое другое в мире WordPress!

  • Павел

    Интересно, хоть кто-то уязвимостью воспользовался?

    • По данным сети WordPress.com и Sucuri пока нет, но поскольку уязвимость теперь стала публичной, то вопрос только времени.

  • sashic

    Уже настолько привык к Jetpack что ни один новый сайт без него не обходится

  • Интересно, но возникла такая проблема с этим прекрасным плагином: «Ваш сайт должен быть в открытом доступе, чтобы иметь возможность использовать Jetpack — site_inaccessible». Что бы это значило?

    • Это значит, что сервисы Jetpack/WordPress.com не могут достучаться до вашего сайта. Возможно он у вас защищен паролем, заблокированы какие-то диапазоны IP адресов у провайдера, запрещены боты и т.д.

      • Спасибо! Помогло.