Tijdens een interne security audit werd een kritische kwetsbaarheid ontdekt in de Jetpack plugin. Deze kwetsbaarheid zat in de contactformulier feature, die in 2016 (Jetpack 3.9.9) werd geïntroduceerd. Daarom werd gisteren een update met patch uitgerold: Jetpack 13.9.1.
Kwetsbaarheid in Jetpack
De kwetsbaarheid in kwestie maakte het mogelijk voor ingelogde gebruikers (met een abonnee gebruikersrol of hoger) om toegang te verkrijgen tot formulieren die door bezoekers van de betreffende WordPress website waren ingevuld. De oorzaak hiervan lag bij ontbrekende capability controles in de Contact_Form_Endpoint klasse. De kwetsbaarheid bleek in meerdere Jetpack versies aanwezig te zijn. Het Jetpack team ging samen met het WordPress.org Security Team aan de slag om patches uit te rollen voor alle Jetpack versies vanaf 3.9.9.
Updaten naar Jetpack 13.9.1
Het Jetpack team stelt geen signalen gezien te hebben dat er misbruik is gemaakt van de kwetsbaarheid. Ze waarschuwen echter wel dat nu de update is uitgerold, er een mogelijkheid bestaat dat kwaadwillenden alsnog zullen proberen de kwetsbaarheid te exploiteren. Gebruikers van de Jetpack plugin krijgen dan ook het dringende advies om zo snel mogelijk Jetpack 13.9.1 te installeren.
Voor meer informatie over deze Jetpack update verwijzen we je naar de release post op Jetpack.com en het kwetsbaarheidsrapport op Wordfence.com.
Lees ook: Veilig WordPress plugins updaten doe je zo!
