WordPress force l’installation d’une mise à jour de Jetpack

0

Automattic, la société derrière le système de gestion de contenu WordPress, force à déployer une mise à jour de sécurité sur plus de cinq millions de sites Web exécutant le plug-in Jetpack de WordPress.

Jetpack est un plug-in de WordPress remarquablement populaire qui fournit des fonctionnalités gratuites de sécurité, de performances et de gestion de sites Web, notamment une protection contre les attaques par force brute, des sauvegardes de site, des connexions sécurisées et une analyse des logiciels malveillants.

Le plugin compte plus de 5 millions d’installations actives, et il est développé et maintenu par Automattic, la société derrière WordPress.

Pas d’exploitation par les pirates informatique

La vulnérabilité a été trouvée dans la fonctionnalité Carousel et son option pour afficher des commentaires pour chaque image, nguyenhg_vcs est celui qui a divulgué de manière responsable la faille de sécurité.

Aucun autre détail n’est disponible concernant cette faille de sécurité pour protéger les sites qui n’ont pas encore été mis à jour. Cependant, nous savons qu’Automattic l’a traité avec une logique d’autorisation supplémentaire.

L’annonce faite par Automattic indique que la vulnérabilité affecte toutes les versions à partir de la version Jetpack 2.0 et remontant à Novembre 2012.

L’équipe de développement de Jetpack a ajouté qu’elle n’avait trouvé aucune preuve que la vulnérabilité ait été exploitée à l’état sauvage.

« Cependant, maintenant que la mise à jour a été déployée, ce n’est qu’une question de temps avant que quelqu’un essaie de profiter de cette vulnérabilité », préviennent les développeurs.

wordpress jetpack patch
patch de Jetpack

Automattic force l’installation de versions corrigées sur tous les sites Web exécutant des versions vulnérables de Jetpack, la plupart des sites ayant déjà été mis à jour.

« Pour vous aider dans ce processus, nous avons travaillé avec l’équipe de sécurité de WordPress.org pour publier des versions corrigées de chaque version de Jetpack depuis la 2.0 », a déclaré Automattic. « La plupart des sites Web ont été ou seront bientôt mis à jour automatiquement vers une version sécurisée. »

Actuellement, les statistiques de téléchargement disponibles sur le site des plugins WordPress confirment que les mises à jour de sécurité ont été transmises à la plupart, sinon à tous les sites Web exposés.

WordPress force la mise à jour pour corriger les bogues critiques affectant des millions de personnes

Ce n’est pas la première fois qu’Automattic utilise le déploiement automatisé de mises à jour de sécurité pour corriger les plug-ins vulnérables ou les installations WordPress.

Le développeur principal de WordPress, Andrew Nacin, a déclaré en 2015 que la société n’avait utilisé les mises à jour automatisées que cinq fois depuis son lancement.

Samuel Wood, un autre développeur de WordPress, a ajouté en Octobre 2020 qu’Automattic utilisait la fonction de mise à jour de sécurité forcée pour déployer « plusieurs fois les versions patchées pour les plugins » depuis la sortie de WordPress 3.7.

Cela indique qu’Automattic déploie des mises à jour forcées pour corriger les plug-ins utilisés par des millions de sites contre les vulnérabilités critiques.

Par exemple, en 2019, Jetpack a reçu une mise à jour de sécurité critique pour corriger un bogue dans la façon dont le plug-in traitait le code d’intégration.

Une autre mise à jour de sécurité a résolu un problème détecté lors d’un audit interne du bloc Contact Form en Décembre 2018. Une mise à jour de sécurité critique de Mai 2016 a corrigé une vulnérabilité dans la manière dont certains shortcodes de Jetpack étaient traités.

Dans des nouvelles connexes, en 2018, les pirates informatique ont également trouvé une méthode pour installer des portes dérobées de plugins sur les sites Web WordPress à l’aide de comptes WordPress.com faiblement protégés et de la fonction de gestion à distance de Jetpack.

Laisser un commentaire