Jetpack for WordPress的 推出了两年的漏洞补丁程序

WordPress的 的 之一Jetpack背后的开发人员' most popular plugins, have patched a serious flaw that was introduced in 2012.

 jetpack徽标
Jetpack.me

WordPress的 的 之一Jetpack背后的开发人员'最受欢迎的插件已修补了2012年引入的一个严重漏洞,攻击者可以利用该漏洞绕过访问控制,并将帖子发布到博客平台上托管的任何网站。

在博客文章中 在Jetpack网站上,乔治·斯蒂芬尼斯(George Stephanis)解释说:

"During an internal security audit, we found a bug that allows an attacker to bypass a site’s access controls and publish posts. This vulnerability could be combined with other attacks to escalate access. This bug has existed since Jetpack 1.9, released in October 2012."

尽管没有证据表明该漏洞已被广泛使用,但由于Jetpack是WordPress中使用最广泛的插件之一,因此Stephanis将该漏洞称为“严重错误”。

Jetpack使自托管的WordPress安装可以使用通常与付费WordPress.com订阅相关联的功能。 它提供了几个功能 可以为典型的WordPress网站增添光彩,而无需单独安装插件和小部件。

没有解释为什么不早发现此漏洞,但Stephanis说他的团队一直在与WordPress安全团队以及许多Web主机和网络提供商合作,以实施网络范围的块以缓解漏洞。缺陷的影响。

但是唯一确定的解决方法是更新。

通过WordPress自动更新功能,应该可以使用Jetpack更新,但是将其用于WordPress安装的任何人都应检查以确保插件是最新的。

对于使用最新WordPress版本的用户,Jetpack应该已经是2.9.3版,这是该插件的最新版本(已修补)。如果通过WordPress仪表板进行的更新不能解决问题,则将下载最新的Jetpack。

Stephanis写道:“出于自身安全考虑,未更新的站点可能会与Jetpack服务断开连接,并且能够在其Jetpack版本更新后立即重新连接。”

版权 © 2014 IDG通讯 ,Inc.