Jetpack 4.0.3 исправляет критическую XSS-уязвимость

Jetpack 4.0.3 — это выпуск безопасности , который содержит важное исправление критической уязвимости, присутствующей в плагине, начиная с версии 2.0, выпущенной в 2012 году. По словам члена команды Jetpack Сэма Хотчкисса, сохраненная уязвимость XSS была обнаружена в том, некоторые шорткоды Jetpack обрабатываются, что позволяет злоумышленнику вставлять JavaScript в комментарии, чтобы захватить браузер посетителя.

Эта конкретная ошибка похожа на одну, недавно обнаруженную и исправленную в bbPress .

«Подобные проблемы могут существовать и в других плагинах, и это хорошее напоминание о том, что регулярные выражения могут создавать проблемы при анализе данных», — сказал Хотчкисс.

Команда Jetpack работала с командой безопасности WordPress над выпуском точечных выпусков для всех уязвимых ветвей кодовой базы плагина, включая все версии после 2.0. Они используют основную систему автоматического обновления WordPress, поэтому все сайты, которые явно не отказались от обновления, получат обновление безопасности.

«К счастью, у нас нет доказательств того, что это использовалось в дикой природе», — сказал Хотчкисс. «Однако теперь, когда это обновление стало общедоступным, это всего лишь вопрос времени, когда кто-то попытается его использовать». Команда Jetpack советует пользователям обновиться как можно скорее, так как обновление также исправляет любые потенциальные эксплойты, которые, возможно, уже были установлены.

Команда благодарит Марка-Александра Монпаса из Sucuri за обнаружение ошибки и ответственное ее раскрытие. Пользователи будут уведомлены о выпуске безопасности по электронной почте, но те, у кого установлены Akismet и/или VaultPress, уже защищены с момента первого сообщения об уязвимости.