Jetpack 发布修补程序以应对关键安全漏洞

Key Takeaways

Jetpack 更新了一个关键漏洞的修补程序，可能造成 2700 万个网站的用户敏感信息泄露。漏洞源于 2016 年的 Jetpack 399 版本，但目前没有证据表明已被利用。企业应当定期检查和更新插件，以保护用户数据的安全。

Jetpack 最近发布了一个补丁，修复了一个可能允许恶意用户向 WordPress 服务器发送特制请求的关键漏洞，导致其他用户提交的数据可能泄露。这一缺陷使得 2700 万个网站的敏感个人信息处于潜在暴露的风险中。

Jetpack 是 Automattic 公司旗下的产品，后者是 WordPress 的开发者。该插件提供了许多企业常用的核心小部件。例如，如果一家公司希望其用户上传头像或人像，Jetpack 的 Gravatar 功能便可标准化这一展示效果。Jetpack Stats 还允许网站运营者收集页面浏览和流量模式的统计信息，并管理订阅。

在 10 月 15 日更新的博客文章中，Jetpack 的工程师 Jeremy Herve 表示，发布的 Jetpack 1391 版本没有发现该漏洞在现实中被利用的证据。

然而，Herve 提到，在公司进行内部安全审计时发现的 Contact Form 功能漏洞可追溯至 2016 年发布的 Jetpack 399 版本。在博客文章中，Jetpack 提供了 已更新的 101 个版本列表。

Herve 写道：“如果您的网站运行的是这些版本中的任何一个，您的网站不再受到该问题的影响。它已被自动更新为安全版本。”

这是 Jetpack 在过去一年内第二次修复长期存在的漏洞。在 2023 年 5 月，Jetpack 发布了一个 自动更新 的 1211 版本，以修复 2012 年发布的插件版本中的关键缺陷。

Qualys Threat Research Unit 的安全研究经理 Mayuresh Dani 解释说，该漏洞尚未获得 CVE 标识，允许未经授权的用户访问其他经过身份验证用户提交的数据。Dani 表示，经过身份验证的远程攻击者可以利用该漏洞查看其他平台用户添加的敏感信息。

Dani 表示：“从本质上讲，联系表单要求提供诸如电话号码和电子邮件地址等个人身份信息，因此对于活跃的 WordPress 安装，这意味着大量的个人信息。”他补充道：“幸运的是，虽然该功能默认启用，但可以禁用。团队应评估该功能是否被积极使用，然后进行相应的禁用，特别是在插件无法更新的情况下。”

WordPress 和许多主机提供商在自动更新插件方面通常表现良好，”前NSA网络安全专家 Evan Dornbush 表示。

极光加速器安全性

“然而，如果您维护的站点未能及时更新插件，并且网站访客使用账户，修补漏洞可能是您需要关注的事情，以免用户数据被泄露，” Dornbush 说。