أصدر WordPress تحديثًا تلقائيًا لمعالجة عيب خطير في المكون الإضافي Jetpack المثبت على أكثر من خمسة ملايين موقع. تحديث عاجل لـ WordPress
الثغرة الأمنية. التي تم اكتشافها أثناء تدقيق داخلي للأمن. تكمن في واجهة برمجة التطبيقات الموجودة في المكون الإضافي منذ الإصدار 2.0. والذي تم إصداره في نوفمبر 2012.
قال Jetpack في تقرير استشاري: “يمكن استخدام هذه الثغرة الأمنية من قبل المؤلفين على موقع ما للتعامل مع أي ملفات في تثبيت WordPress”. تم إصدار 102 نسخة جديدة من Jetpack لإصلاح الخطأ.
على الرغم من عدم وجود دليل على أن المشكلة قد تم استغلالها في البرية. فليس من غير المألوف أن يتم الاستفادة من العيوب الموجودة في مكونات WordPress الإضافية الشهيرة من قبل الجهات الفاعلة في التهديد التي تتطلع إلى الاستيلاء على المواقع لأغراض ضارة.
ليست هذه هي المرة الأولى التي تدفع فيها نقاط الضعف الأمنية الشديدة في Jetpack ووردبريس إلى فرض تثبيت التصحيحات.
تحديث عاجل لـ WordPress
في نوفمبر 2019. أصدرت Jetpack الإصدار 7.9.1 لإصلاح عيب في طريقة تعامل البرنامج المساعد مع كود التضمين الذي كان موجودًا منذ يوليو 2017 (الإصدار 5.1).
يأتي هذا التطوير أيضًا في الوقت الذي كشف فيه Patchstack عن وجود خلل أمني في المكون الإضافي Gravity Forms الإضافي الذي قد يسمح لمستخدم غير مصادق بحقن رمز PHP تعسفي.
تؤثر المشكلة (CVE-2023-28782) على جميع الإصدارات من 2.7.3 وما بعده. تمت معالجته في الإصدار 2.7.4. والذي تم توفيره في 11 أبريل 2023.