VietNetwork.Vn

Những người bảo trì plugin Jetpack WordPress đã phát hành bản cập nhật bảo mật để khắc phục lỗ hổng nghiêm trọng có thể cho phép người dùng đã đăng nhập truy cập vào các biểu mẫu do người khác gửi trên trang web.

Jetpack, thuộc sở hữu của Automattic, nhà sản xuất WordPress, là một plugin tất cả trong một cung cấp một bộ công cụ toàn diện để cải thiện tính an toàn, hiệu suất và tăng trưởng lưu lượng truy cập của trang web. Theo trang web của họ, plugin này được sử dụng trên 27 triệu trang web WordPress.


Vấn đề này được cho là đã được Jetpack phát hiện trong quá trình kiểm tra bảo mật nội bộ và vẫn tồn tại kể từ phiên bản 3.9.9, phát hành năm 2016.

Jeremy Herve của Jetpack cho biết lỗ hổng này nằm trong tính năng Biểu mẫu liên hệ trong Jetpack và "có thể được bất kỳ người dùng nào đã đăng nhập trên trang web sử dụng để đọc các biểu mẫu do khách truy cập trên trang web gửi".

Jetpack cho biết họ đã hợp tác chặt chẽ với Nhóm bảo mật   Đăng nhập để xem liên kết để tự động cập nhật plugin lên phiên bản an toàn trên các trang web đã cài đặt.

Nhược điểm này đã được khắc phục trong 101 phiên bản Jetpack khác nhau sau đây -

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7. 3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4. 6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10

Mặc dù không có bằng chứng nào cho thấy lỗ hổng này từng bị khai thác ngoài thực tế, nhưng có khả năng nó có thể bị lạm dụng trong tương lai khi được công khai.

Điều đáng chú ý là Jetpack đã tung ra các bản sửa lỗi tương tự cho một lỗ hổng nghiêm trọng khác trong plugin Jetpack vào tháng 6 năm 2023, vốn đã tồn tại từ tháng 11 năm 2012.

Sự phát triển này diễn ra trong bối cảnh đang có tranh chấp giữa nhà sáng lập WordPress Matt Mullenweg và nhà cung cấp dịch vụ lưu trữ WP Engine, trong đó   Đăng nhập để xem liên kết nắm quyền kiểm soát plugin Advanced Custom Fields (ACF) của nhà cung cấp dịch vụ lưu trữ sau để tạo ra nhánh riêng có tên là Secure Custom Fields.

"SCF đã được cập nhật để xóa các chương trình bán thêm thương mại và khắc phục sự cố bảo mật", Mullenweg cho biết. "Bản cập nhật này tối giản nhất có thể để khắc phục sự cố bảo mật".

WordPress không tiết lộ bản chất chính xác của vấn đề bảo mật, nhưng cho biết nó liên quan đến $_REQUEST. WordPress cũng cho biết vấn đề đã được giải quyết trong phiên bản 6.3.6.2 của Secure Custom Fields.

"Mã của họ hiện không an toàn và việc họ yêu cầu mọi người tránh sử dụng Secure Custom Fields cho đến khi họ khắc phục được lỗ hổng là hành vi vi phạm nghĩa vụ của họ đối với khách hàng", WordPress lưu ý. "Chúng tôi cũng đã thông báo riêng cho họ về vấn đề này, nhưng họ không phản hồi".

Trong bài đăng trên X, WP Engine tuyên bố WordPress chưa bao giờ "đơn phương và cưỡng bức" lấy một plugin đang được phát triển "từ người tạo ra nó mà không có sự đồng ý".

Đáp lại, WordPress cho biết "điều này đã xảy ra nhiều lần trước đây" và họ có quyền vô hiệu hóa hoặc xóa bất kỳ plugin nào khỏi thư mục, xóa quyền truy cập của nhà phát triển vào plugin hoặc thay đổi plugin "mà không cần sự đồng ý của nhà phát triển" vì lợi ích an toàn công cộng.