Сегодня Jetpack выпустил версию 2.9.3. Это критическое обновление безопасности, которое устраняет потенциально серьезную угрозу, присутствующую в Jetpack, начиная с версии 1.9, выпущенной в октябре 2012 года. Джордж Стефанис объяснил уязвимость в объявлении о выпуске :
В ходе внутреннего аудита безопасности мы обнаружили ошибку, которая позволяет злоумышленнику обходить контроль доступа к сайту и публиковать сообщения. Эта уязвимость может быть объединена с другими атаками для эскалации доступа.
В настоящее время у команды Jetpack нет доказательств того, что уязвимость использовалась на каких-либо сайтах, на которых запущен плагин. Однако теперь, когда об этом стало известно всем, каждому администратору сайта WordPress, использующему Jetpack, настоятельно рекомендуется установить приоритет этого обновления и принять немедленные меры для всех сайтов, которыми вы управляете.
Чтобы дать вам представление о серьезности этой ошибки, Стефанис сказал, что сайты, на которых продолжают работать старые версии плагина, вскоре могут быть отключены от службы Jetpack в целях их собственной безопасности. Вот что они делают, чтобы уменьшить угрозу:
Это серьезная ошибка, и Jetpack — один из наиболее широко используемых плагинов в мире WordPress. Мы тесно сотрудничали с командой безопасности WordPress, которая обновляла каждую версию плагина, начиная с 1.9, через систему автоматического обновления ядра. Мы также согласовали с рядом хостов и сетевых провайдеров установку общесетевых блоков, чтобы смягчить влияние этой уязвимости, но единственное надежное исправление — это обновление плагина.
Сайты, которые могут получать автоматические фоновые обновления, могут уже иметь обновленную версию Jetpack. Всем остальным будет предложено обновиться вручную.
Команда Jetpack подготовила точечные выпуски для всех 11 предыдущих версий, уязвимых для этой угрозы. Они свяжутся с администраторами сайтов, на которых все еще работают старые версии, чтобы сообщить им о критическом обновлении. Сайты, которые не обновляются, не смогут повторно подключиться к службе Jetpack.
Если вы работаете с сайтом WordPress, на котором запущен Jetpack, или у вас есть клиентские сайты, использующие плагин, вам необходимо немедленно принять меры, особенно если функциональность вашего сайта сильно зависит от службы Jetpack.
Поскольку до крайнего срока соблюдения GDPR ЕС осталось всего 178 дней , многие владельцы сайтов…
Команда Gutenberg создаст станцию тестирования удобства использования в WordCamp US, где посетители смогут принять участие…
Сегодня компания 10up опубликовала предварительную версию своего плагина Distributor , нового решения для синдикации контента…
На этой неделе был выпущен Gutenberg 1.8 с несколькими заметными улучшениями, которые предоставят разработчикам плагинов…
На этой неделе был выпущен Gutenberg 15.5 с новыми функциями и улучшениями возможностей полнофункционального редактирования…
DesktopServer выпустил версию 3.8.4 своего программного обеспечения для локальной разработки. Эта версия включает в себя…