Jetpack, el popular y uno de los complementos de WordPress más utilizados, solucionó recientemente un problema de seguridad crítico. A pesar de que no hubo exploits activos, WordPress instaló a la fuerza las actualizaciones del complemento Jetpack en los sitios web para corregir la vulnerabilidad.
Vulnerabilidad del complemento Jetpack WordPress
Aparentemente, el complemento Jetpack había desarrollado una falla de seguridad grave que podría poner en riesgo a millones de sitios web de WordPress. La noticia apareció en línea cuando el equipo de Jetpack lanzó una importante actualización de seguridad para el complemento, instando a los usuarios a actualizar.
Según el boletín de seguridad publicado recientemente, los desarrolladores del complemento descubrieron una vulnerabilidad crítica que afectaba a la API de Jetpack durante una auditoría de seguridad interna. En particular, la vulnerabilidad existía en el complemento desde su versión 2.0 de 2012, hace aproximadamente una década.
Afortunadamente, la falla permaneció oculta a los adversarios, evitando cualquier amenaza a la seguridad del sitio web. Sin embargo, si se explota, la vulnerabilidad permitiría a un atacante con roles de autor en un sitio web manipular cualquier archivo en la instalación de WordPress.
Por ahora, el equipo del complemento se ha abstenido de compartir detalles sobre la vulnerabilidad para evitar posibles intentos de explotación. El registro de cambios en la página oficial del complemento simplemente enumera un problema de API REST que el equipo solucionó para garantizar la validación adecuada de todos los archivos cargados a través de la API.
Después de notar la vulnerabilidad, el equipo del complemento Jetpack desarrolló rápidamente un parche para diferentes versiones del complemento. Eventualmente, lanzaron 102 versiones diferentes el mismo día para cumplir con los requisitos del sitio de diferentes usuarios de WordPress.
WordPress Force instala actualizaciones de complementos
Jetpack actualmente tiene más de 5 millones de instalaciones activas, lo que sugiere la gran cantidad de sitios web en riesgo debido a las vulnerabilidades de los complementos. Sin embargo, para evitar tales amenazas, el equipo de complementos ha trabajado con el equipo de seguridad de WordPress para garantizar la implementación automática de parches.
Por lo tanto, WordPress comenzó a forzar la instalación de actualizaciones de Jetpack en los sitios web para evitar posibles ataques.
Aunque Jetpack ha confirmado que no detecta una explotación activa de la falla, los desarrolladores aún instan a los usuarios a asegurarse de que sus sitios web estén actualizados a las últimas versiones.
Por separado, otro complemento de WordPress, Beautiful Cookie Consent Banner, también solucionó recientemente un grave problema de secuencias de comandos entre sitios (XSS). Por lo tanto, todos los administradores de WordPress deben revisar sus sitios para obtener actualizaciones adecuadas de todos los complementos instalados para evitar riesgos de seguridad.
Háganos saber sus pensamientos en los comentarios.
