È stata scoperta una grave vulnerabilità in Jetpack, il noto plugin per WordPress che ad oggi registra ben 5 milioni di installazioni attive e che consente di aggiungere numerose funzionalità per la sicurezza dei siti: oltre a utili strumenti di backup e controllo degli accessi, infatti, Jetpack integra anche una valida protezione da malware e da attacchi di tipo brute force.
La vulnerabilità nel plugin Jetpack è stata scoperta dal ricercatore Adham Sadaqah e prontamente segnalata in modo responsabile agli sviluppatori di Automattic, la società che sta dietro al portale WordPress.com e che ha fornito notevoli contributi allo sviluppo dello stesso WordPress.
Indice degli argomenti
Dettagli della vulnerabilità nel plugin Jetpack per WordPress
Al momento non sono stati rilasciati ulteriori informazioni tecniche in merito alla vulnerabilità di Jetpack. Si sa solo che la falla di sicurezza è stata riscontrata nel modo in cui Jetpack elabora alcune porzioni di codice embedded.
Nella nota di aggiornamento pubblicata sul sito stesso del plugin, gli sviluppatori comunicano che la falla è presente fin dalla versione 5.1 rilasciata a luglio 2017 e consigliano agli amministratori dei siti basati su WordPress di installare il prima possibile l’ultima versione di Jetpack, la 7.9.1, contenente la patch di sicurezza.
Gli stessi sviluppatori fanno sapere che la vulnerabilità non sembra essere stata sfruttata “in natura”, ma secondo loro ora che l’aggiornamento è stato rilasciato è solo una questione di tempo prima che qualche criminal hacker cerchi di sfruttarla a proprio vantaggio.
Il team di sviluppo di Jetpack, inoltre, ha comunicato di aver lavorato a stretto contatto con il team di sicurezza di WordPress.org per rilasciare una patch per ogni versione di Jetpack sia della serie 5.1.x sia della serie 7.x.x.
Come applicare la patch
Nella nota di aggiornamento di Jetpack si legge che “la maggior parte dei siti web sono stati o saranno presto aggiornati automaticamente a una versione sicura” mediante la procedura automatica di WordPress.
Nel caso in cui gli aggiornamenti automatici fossero stati disattivati nel file di configurazione del CMS, è possibile procedere manualmente all’aggiornamento di Jatpack tramite la Bacheca presente nel pannello di controllo di WordPress oppure scaricando manualmente il file ZIP contenente i file di installazione e procedendo poi al trasferimento degli stessi tramite FTP.
