Pengelola plugin Jetpack WordPress telah merilis pembaruan keamanan untuk memulihkan kerentanan kritis yang memungkinkan pengguna yang masuk mengakses formulir yang dikirimkan oleh orang lain di situs.
Jetpack, yang dimiliki oleh pembuat WordPress Automattic, adalah plugin lengkap yang menawarkan serangkaian alat komprehensif untuk meningkatkan keamanan situs, kinerja, dan pertumbuhan lalu lintas. Ini digunakan di 27 juta situs WordPress, menurut situs webnya.
Masalah ini dikatakan telah diidentifikasi oleh Jetpack selama audit keamanan internal dan terus berlanjut sejak versi 3.9.9, yang dirilis pada tahun 2016.
Kerentanannya terletak pada fitur Formulir Kontak di Jetpack, dan “dapat digunakan oleh pengguna mana pun yang masuk ke situs untuk membaca formulir yang dikirimkan oleh pengunjung situs,” kata Jeremy Herve dari Jetpack.
Jetpack mengatakan pihaknya bekerja sama dengan Tim Keamanan WordPress.org untuk memperbarui plugin secara otomatis ke versi yang aman di situs yang diinstal.
Kekurangan ini telah diatasi pada 101 versi Jetpack yang berbeda berikut ini –
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Meskipun tidak ada bukti bahwa kerentanan tersebut pernah dieksploitasi secara liar, terdapat kemungkinan bahwa kerentanan tersebut dapat disalahgunakan di masa mendatang jika terjadi pengungkapan kepada publik.
Perlu dicatat bahwa Jetpack meluncurkan perbaikan serupa untuk kelemahan kritis lainnya pada plugin Jetpack pada bulan Juni 2023 yang telah ada sejak November 2012.
Perkembangan ini terjadi di tengah perselisihan yang sedang berlangsung antara pendiri WordPress Matt Mullenweg dan penyedia hosting WP Engine, dengan WordPress.org mengambil kendali plugin Advanced Custom Fields (ACF) untuk membuat fork sendiri yang disebut Secure Custom Fields.
“SCF telah diperbarui untuk menghapus peningkatan komersial dan memperbaiki masalah keamanan,” kata Mullenweg. “Pembaruan ini dibuat seminimal mungkin untuk memperbaiki masalah keamanan.”
WordPress tidak mengungkapkan sifat sebenarnya dari masalah keamanan tersebut, namun mengatakan hal itu ada hubungannya dengan $_REQUEST. Lebih lanjut dikatakan bahwa masalah tersebut telah diatasi dalam Bidang Kustom Aman versi 6.3.6.2.
“Kode mereka saat ini tidak aman, dan merupakan kelalaian terhadap tugas mereka kepada pelanggan jika mereka memberi tahu orang-orang untuk menghindari Bidang Kustom Aman sampai mereka memperbaiki kerentanannya,” kata WordPress. “Kami juga telah memberitahu mereka secara pribadi mengenai hal ini, namun mereka tidak memberikan tanggapan.”
WP Engine, dalam sebuah postingan di X, mengklaim WordPress tidak pernah “secara sepihak dan paksa” mengambil plugin yang dikembangkan secara aktif “dari penciptanya tanpa persetujuan.”
Sebagai tanggapan, WordPress mengatakan “ini telah terjadi beberapa kali sebelumnya,” dan WordPress berhak menonaktifkan atau menghapus plugin apa pun dari direktori, menghapus akses pengembang ke plugin, atau mengubahnya “tanpa izin pengembang” demi kepentingan publik. keamanan.
