تحديث أمني هام في إضافة Jetpack لـ WordPress. أصدرت الجهات المسؤولة عن إضافة Jetpack لـ WordPress تحديثًا أمنيًا لمعالجة ثغرة أمنية خطيرة كانت قد تسمح للمستخدمين المسجلين بالوصول إلى النماذج التي يرسلها الآخرون على الموقع.
نبذة عن Jetpack
Jetpack، المملوكة لشركة Automattic، هي إضافة شاملة تقدم مجموعة من الأدوات لتحسين أمان الموقع وأدائه ونمو حركة المرور. تُستخدم هذه الإضافة في 27 مليون موقع WordPress وفقًا لموقعها الرسمي.
تفاصيل الثغرة الأمنية
تم اكتشاف المشكلة خلال تدقيق أمني داخلي من قبل فريق Jetpack، وهي موجودة منذ إصدار النسخة 3.9.9 في عام 2016. تقع الثغرة في ميزة نموذج الاتصال في Jetpack، حيث يمكن لأي مستخدم مسجل في الموقع قراءة النماذج التي يرسلها الزوار.
الإجراءات المتخذة
عملت Jetpack بشكل وثيق مع فريق الأمان في WordPress.org لتحديث الإضافة تلقائيًا إلى نسخة آمنة على المواقع المثبتة. تم معالجة الثغرة في 101 إصدار مختلف من Jetpack، بدءًا من الإصدار 13.9.1 وحتى 3.9.10.
سياق أوسع
على الرغم من عدم وجود دليل على استغلال الثغرة في البرية، إلا أن هناك احتمالًا لإساءة استخدامها في المستقبل نظرًا للإفصاح العام عنها. يذكر أن Jetpack أصدرت إصلاحات مماثلة لثغرة خطيرة أخرى في يونيو 2023، والتي كانت موجودة منذ نوفمبر 2012.
نزاع مستمر
يأتي هذا التطور في ظل نزاع مستمر بين مؤسس WordPress، مات مولينويج، ومزود الاستضافة WP Engine. حيث قامت WordPress.org بالسيطرة على إضافة Advanced Custom Fields (ACF) لإنشاء نسخة خاصة بها تسمى Secure Custom Fields. تم تحديث SCF لإزالة العروض التجارية وإصلاح مشكلة أمنية.
في النهاية، تحديث أمني هام أكدت WordPress أنها تحتفظ بالحق في تعطيل أو إزالة أي إضافة من الدليل أو تغييرها “دون موافقة المطور” من أجل السلامة العامة.