Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

Jetpack: risolta una vulnerabilità presente da ben 8 anni

Jetpack: Automattic ha rilasciato un aggiornamento che permette di risolvere una vulnerabilità risalente al 2016
Jetpack: risolta una vulnerabilità presente da ben 8 anni
Jetpack: Automattic ha rilasciato un aggiornamento che permette di risolvere una vulnerabilità risalente al 2016
Claudio Garau
Pubblicato il 15 ott 2024
Link copiato negli appunti

Nelle scorse ore è stato rilasciato un importante aggiornamento di sicurezza per il plugin Jetpack di WordPress. L'intervento effettuato dagli sviluppatori era mirato a risolvere una vulnerabilità critica che consentiva ad un utente loggato di accedere ai moduli inviati dai visitatori del sito. Jetpack, che è un'estensione sviluppata da Automattic, è uno dei plugin più popolari per il CMS. Installato infatti su circa 27 milioni di siti web, offre strumenti per migliorare funzionalità, sicurezza e prestazioni.

La vulnerabilità di Jetpack

La vulnerabilità è stata scoperta durante un audit interno. Essa ha impattato tutte le versioni di Jetpack a partire dalla 3.9.9 che venne rilasciata nel 2016.

Il problema riguardava la funzionalità dei moduli di contatto del plugin. A conferma di ciò vi è il relativo bollettino di sicurezza, dove viene certificata l'esistenza di una vulnerabilità che riguarda la funzione dei form di contatto presente nel plugin di WordPress. Il difetto permetteva agli utenti autenticati di leggere i dati dei moduli inviati dagli utenti.

Automattic ha rilasciato una patch che risolve il problema in ben 101 versioni del plugin. Per la precisione a partire dalla 3.9.10 fino alle release più recenti. L'ultima è la 13.9.1.

È comunque essenziale che i proprietari e gli amministratori dei siti web verifichino se il loro plugin Jetpack è stato aggiornato automaticamente ad una delle versioni corrette. In caso contrario si dovrà procedere con un aggiornamento manuale.

Un pericolo sempre in agguato

Sebbene non ci siano prove che la vulnerabilità sia stata sfruttata da utenti malevoli durante i suoi otto anni di esistenza, Jetpack ha avvertito che ora, con il rilascio dell'aggiornamento, esiste la possibilità che qualcuno tenti di sfruttarla. Non sono tra l'altro disponibili delle soluzioni temporanee o mitigazioni per questa problematica. Quindi l'unica raccomandazione valida è quella di applicare l'aggiornamento ufficiale il prima possibile.

I dettagli tecnici sulla vulnerabilità, e su come possa essere sfruttata, sono stati trattenuti temporaneamente per dare agli utenti il tempo di passare ad una release aggiornata.

Ti consigliamo anche

Hacker cinesi sfruttano una falla zero-day di FortiClient VPN
Sicurezza

Hacker cinesi sfruttano una falla zero-day di FortiClient VPN
Truffe tramite QR code in aumento: come riconoscerle e difendersi
Sicurezza

Truffe tramite QR code in aumento: come riconoscerle e difendersi
Pirateria: chiusa una rete IPTV illegale, 1,3 milioni di utenti colpiti
Sicurezza

Pirateria: chiusa una rete IPTV illegale, 1,3 milioni di utenti colpiti
Hacker cinesi infiltrano T-Mobile: esposti dati sensibili negli USA
Sicurezza

Hacker cinesi infiltrano T-Mobile: esposti dati sensibili negli USA