Le plugin WordPress Jetpack a publié une mise à jour de sécurité critique plus tôt dans la journée, corrigeant une vulnérabilité qui permettait à un utilisateur connecté d’accéder aux formulaires soumis par d’autres visiteurs du site.
Jetpack est un plugin WordPress populaire d’Automattic qui fournit des outils pour améliorer les fonctionnalités, la sécurité et les performances du site Web. Selon le fournisseur, le plugin est installé sur 27 millions de sites Web.
Le problème a été découvert lors d’un audit interne et affecte toutes les versions de Jetpack depuis la version 3.9.9, publiée en 2016.
« Lors d’un audit de sécurité interne, nous avons découvert une vulnérabilité avec la fonctionnalité de formulaire de contact dans Jetpack depuis la version 3.9.9, publiée en 2016 », lit-on dans le bulletin de sécurité.
« Cette vulnérabilité pourrait être utilisée par tout utilisateur connecté sur un site pour lire les formulaires soumis par les visiteurs sur le site. »
Automattic a publié des correctifs pour 101 versions impactées de Jetpack, toutes répertoriées ci-dessous:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Les propriétaires de sites Web et les administrateurs qui comptent sur Jetpack doivent vérifier si leur plugin a automatiquement été mis à niveau vers l’une des versions répertoriées ci-dessus et effectuer une mise à niveau manuelle si ce n’est pas le cas.
Jetpack dit qu’il n’y a aucune preuve que des acteurs malveillants aient exploité la faille au cours de ses huit années d’existence, mais il conseille aux utilisateurs de passer à une version corrigée dès que possible.
« Nous n’avons aucune preuve que cette vulnérabilité a été exploitée à l’état sauvage. Cependant, maintenant que la mise à jour a été publiée, il est possible que quelqu’un essaie de tirer parti de cette vulnérabilité », a averti Jetpack.
Notez qu’il n’y a aucune atténuation ou solution de contournement pour cette faille, donc l’application des mises à jour disponibles est la seule solution disponible et recommandée.
Les détails techniques sur la faille et la manière dont elle peut être exploitée ont été retenus pour l’instant afin de laisser aux utilisateurs un peu de temps pour appliquer les mises à jour de sécurité.