A empresa por trás do sistema de gerenciamento de conteúdo WordPress de código aberto, a Automattic, começou a instalar um patch de segurança em milhões de sites hoje para corrigir uma vulnerabilidade crítica no plug-in WordPress Jetpack.
O Jetpack é um plug-in extremamente popular que fornece melhorias gratuitas de segurança, desempenho e gerenciamento de sites, incluindo backups de sites, proteção contra ataques de força bruta, logins seguros, verificação de malware e muito mais.
De acordo com o repositório oficial de plug-ins do WordPress, o plug-in é mantido pela Automattic e agora tem mais de 5 milhões de instalações ativas.
"Durante uma auditoria de segurança interna, encontramos uma vulnerabilidade na API disponível no Jetpack desde a versão 2.0, lançada em 2012", disse Jeremy Herve, Engenheiro de Relações com Desenvolvedores da Automattic.
"Essa vulnerabilidade poderia ser usada por autores em um site para manipular quaisquer arquivos na instalação do WordPress".
O patch de segurança Jetpack 12.1.1, atualmente sendo instalado automaticamente em todos os sites WordPress que usam o plug-in, começou a ser instalado hoje e já foi instalado em mais de 4.130.000 sites que usam todas as versões do Jetpack desde 2.0.
Isso significa que a maioria dos sites vulneráveis já foi atualizada automaticamente para a versão segura mais recente e o restante também será corrigido em breve.
Herve também alertou os administradores do site que, embora não haja sinais de que o bug tenha sido usado em ataques, eles devem garantir que seus sites estejam seguros, já que os atacantes provavelmente aproveitarão os detalhes da falha e criarão exploits para sites WordPress não corrigidos.
"Não temos evidências de que essa vulnerabilidade tenha sido explorada. No entanto, agora que a atualização foi lançada, é possível que alguém tente aproveitar essa vulnerabilidade", disse Herve.
"Por favor, atualize sua versão do Jetpack o mais rápido possível para garantir a segurança do seu site. Para ajudá-lo nesse processo, trabalhamos em estreita colaboração com a Equipe de Segurança do WordPress para lançar versões corrigidas de cada versão do Jetpack desde 2.0.
A maioria dos sites foi ou será atualizada automaticamente para uma versão segura".
Esta não é a primeira vez que a Automattic usou a implantação automatizada de atualizações de segurança para corrigir problemas críticos em plug-ins ou instalações do WordPress.
Por exemplo, o desenvolvedor do WordPress Samuel Wood disse em outubro de 2020 que a Automattic usou essa abordagem para forçar "lançamentos de segurança para plug-ins muitas vezes" desde que o WordPress 3.7 foi lançado.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...