Automattic, la société à l’origine du système de gestion de contenu open source WordPress, a commencé aujourd’hui à installer de force un correctif de sécurité sur des millions de sites Web pour remédier à une vulnérabilité critique du plug-in Jetpack WordPress.
Jetpack est un plug-in extrêmement populaire qui offre des améliorations gratuites en matière de sécurité, de performances et de gestion de site Web, notamment des sauvegardes de site, une protection contre les attaques par force brute, des connexions sécurisées, une analyse des logiciels malveillants, etc.
Selon le référentiel officiel de plug-ins WordPress, le plug-in est maintenu par Automattic et compte désormais plus de 5 millions d’installations actives.
« Lors d’un audit de sécurité interne, nous avons trouvé une vulnérabilité avec l’API disponible dans Jetpack depuis la version 2.0, publiée en 2012 », a déclaré Jeremy Herve, ingénieur des relations avec les développeurs d’Automatic.
« Cette vulnérabilité pourrait être utilisée par les auteurs d’un site pour manipuler n’importe quel fichier de l’installation de WordPress. »
Jetpack 12.1.1, le correctif de sécurité actuellement déployé automatiquement sur tous les sites Web WordPress utilisant le plug-in, a commencé à être déployé aujourd’hui et a déjà été installé sur plus de 4 130 000 sites utilisant toutes les versions de Jetpack depuis la 2.0.
Cela signifie que la plupart des sites Web vulnérables ont déjà été automatiquement mis à jour vers la dernière version sécurisée, et les autres seront bientôt corrigés également.
Herve a également averti les administrateurs de sites Web que, bien qu’il n’y ait aucun signe que le bogue ait été abusé lors d’attaques, ils doivent s’assurer que leurs sites sont sécurisés car les attaquants relèveront très probablement les détails de la faille et créeront des exploits ciblant les sites Web WordPress non corrigés.
« Nous n’avons aucune preuve que cette vulnérabilité a été exploitée dans la nature. Cependant, maintenant que la mise à jour a été publiée, il est possible que quelqu’un essaie de profiter de cette vulnérabilité », a déclaré Hervé.
« Veuillez mettre à jour votre version de Jetpack dès que possible pour assurer la sécurité de votre site. Pour vous aider dans ce processus, nous avons travaillé en étroite collaboration avec l’équipe de sécurité de WordPress.org pour publier des versions corrigées de chaque version de Jetpack depuis la 2.0. La plupart les sites Web ont été ou seront bientôt automatiquement mis à jour vers une version sécurisée. »
Ce n’est pas la première fois qu’Automattic utilise le déploiement automatisé de mises à jour de sécurité pour corriger des problèmes critiques dans les plug-ins ou installations WordPress.
Par exemple, le développeur WordPress Samuel Wood a déclaré en octobre 2020 qu’Automattic avait utilisé cette approche pour pousser « les versions de sécurité des plug-ins à plusieurs reprises » depuis la sortie de WordPress 3.7.