WordPress força a instalação de patch crítico do Jetpack em 5 milhões de sites
31 de Maio de 2023

A empresa por trás do sistema de gerenciamento de conteúdo WordPress de código aberto, a Automattic, começou a instalar um patch de segurança em milhões de sites hoje para corrigir uma vulnerabilidade crítica no plug-in WordPress Jetpack.

O Jetpack é um plug-in extremamente popular que fornece melhorias gratuitas de segurança, desempenho e gerenciamento de sites, incluindo backups de sites, proteção contra ataques de força bruta, logins seguros, verificação de malware e muito mais.

De acordo com o repositório oficial de plug-ins do WordPress, o plug-in é mantido pela Automattic e agora tem mais de 5 milhões de instalações ativas.

"Durante uma auditoria de segurança interna, encontramos uma vulnerabilidade na API disponível no Jetpack desde a versão 2.0, lançada em 2012", disse Jeremy Herve, Engenheiro de Relações com Desenvolvedores da Automattic.

"Essa vulnerabilidade poderia ser usada por autores em um site para manipular quaisquer arquivos na instalação do WordPress".

O patch de segurança Jetpack 12.1.1, atualmente sendo instalado automaticamente em todos os sites WordPress que usam o plug-in, começou a ser instalado hoje e já foi instalado em mais de 4.130.000 sites que usam todas as versões do Jetpack desde 2.0.

Isso significa que a maioria dos sites vulneráveis já foi atualizada automaticamente para a versão segura mais recente e o restante também será corrigido em breve.

Herve também alertou os administradores do site que, embora não haja sinais de que o bug tenha sido usado em ataques, eles devem garantir que seus sites estejam seguros, já que os atacantes provavelmente aproveitarão os detalhes da falha e criarão exploits para sites WordPress não corrigidos.

"Não temos evidências de que essa vulnerabilidade tenha sido explorada. No entanto, agora que a atualização foi lançada, é possível que alguém tente aproveitar essa vulnerabilidade", disse Herve.

"Por favor, atualize sua versão do Jetpack o mais rápido possível para garantir a segurança do seu site. Para ajudá-lo nesse processo, trabalhamos em estreita colaboração com a Equipe de Segurança do WordPress para lançar versões corrigidas de cada versão do Jetpack desde 2.0.

A maioria dos sites foi ou será atualizada automaticamente para uma versão segura".

Esta não é a primeira vez que a Automattic usou a implantação automatizada de atualizações de segurança para corrigir problemas críticos em plug-ins ou instalações do WordPress.

Por exemplo, o desenvolvedor do WordPress Samuel Wood disse em outubro de 2020 que a Automattic usou essa abordagem para forçar "lançamentos de segurança para plug-ins muitas vezes" desde que o WordPress 3.7 foi lançado.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...