详细内容或原文请订阅后点击阅览
Jetpack 修复了影响数百万 WordPress 网站的 8 年前漏洞
简述 - 更新此外,新的欧盟网络报告规则已生效,漏洞利用者开始加速,英国学校免费提供 PDNS 等等上周发布了几乎无处不在的 WordPress 插件 Jetpack 的关键安全更新。网站管理员应确保安装最新版本以确保其网站的安全。
来源:The Register _恶意软件简而言之 - 更新了上周发布的近乎语WordPress插件JetPack的关键安全性更新。站点管理员应确保安装最新版本以确保其网站安全。
简短 - 更新JetPack是由Automattic开发的WordPress插件,提供了AntisPAM过滤,站点分析等功能。它发布了101个不同版本的安全补丁,可以追溯到2016年的3.9.9版,从那以后引入了一个缺陷。
发布“在内部安全审核期间,我们在Jetpack中发现了具有联系形式功能的漏洞,”该团队说。 “此漏洞可以由网站上的用户登录的任何登录的访问者都可以使用该网站上提交的表格。”
换句话说,在非常特殊的情况下,它具有很大的潜力。
JetPack声称没有证据表明野外曾经利用了脆弱性,但它预测,现在它不会持续到世界上有关此事的信息。
“现在已发布更新,可能有人会尝试利用此漏洞,” Jetpack指出。该帖子在其更新中没有包含CVE,但尚不清楚从那以后是否已分配了CVE。我们已经与Jetpack团队联系以进行评论,但他们没有回应。
正如其他人所指出的那样,JetPack长期以来一直是任何新的WordPress网站的标准部分,这意味着它在许多地方都存在 - 大约有2700万个站点按一个估计。它说,更新版本应该自动安装在所有受影响的网站上,因此WordPress管理员不一定需要惊慌。
2700万个网站也就是说,请仔细检查您的喷气背包版本仍然是一个好主意,以确保您仍然不在旧版本上。
10月20日UTC 21:00更新
Automattic向我们发送了有关缺陷的更多信息。
补丁已交付给启用自动更新的用户。
CVE-2024-40711 其他 nis2