Le populaire et l'un des plugins WordPress les plus utilisés, Jetpack a récemment corrigé un problème de sécurité critique. Malgré l'absence d'exploitation active, WordPress a forcé l'installation des mises à jour du Plugin Jetpack sur les sites web afin de corriger la vulnérabilité.
Vulnérabilité du plugin WordPress Jetpack
Le plugin Jetpack aurait développé une grave faille de sécurité qui mettrait en péril des millions de sites Web WordPress. La nouvelle a fait surface en ligne alors que l'équipe Jetpack déployait une importante mise à jour de sécurité pour le plugin, exhortant les utilisateurs à se mettre à jour.
Selon le bulletin de sécurité récemment publié, les développeurs du plugin ont découvert une vulnérabilité critique affectant l'API Jetpack lors d'un audit de sécurité interne. Notamment, la vulnérabilité existait dans le plugin depuis sa version 2.0 de 2012 – il y a une dizaine d'années.
Heureusement, la faille est restée cachée aux adversaires, évitant toute menace de sécurité pour les sites web. Néanmoins, si elle est exploitée, la vulnérabilité permettrait à un attaquant ayant des rôles d'auteur sur un site web de manipuler n'importe quel fichier de l'installation WordPress.
Pour l'instant, l'équipe du plugin s'est abstenue de partager des détails sur la vulnérabilité afin d'éviter d'éventuelles tentatives d'exploitation. Le journal des modifications sur la page officielle du plugin mentionne simplement un problème lié à l'API REST que l'équipe a corrigé pour garantir une validation correcte de tous les fichiers téléchargés via l'API.
Après avoir remarqué la vulnérabilité, l'équipe du plugin Jetpack a rapidement développé un correctif pour les différentes versions du plugin. Finalement, ils ont publié 102 versions différentes le même jour pour répondre aux exigences des sites des différents utilisateurs de WordPress.
WordPress force l'installation des mises à jour de plugins
Jetpack revendique actuellement plus de 5 millions d'installations actives, ce qui laisse entrevoir le nombre considérable de sites Web menacés par les vulnérabilités du plugin. Néanmoins, pour éviter de telles menaces, l'équipe du plugin a collaboré avec l'équipe de sécurité de WordPress pour assurer le déploiement automatique des correctifs.
En conséquence, WordPress a commencé à forcer l'installation des mises à jour de Jetpack en conséquence sur les sites web afin de prévenir les attaques potentielles.
Bien que Jetpack ait confirmé n'avoir détecté aucune exploitation active de la faille, les développeurs conseillent vivement aux utilisateurs de veiller à mettre à jour leurs sites Web avec les dernières versions.
Par ailleurs, un autre plugin WordPress, Beautiful Cookie Consent Banner, a lui aussi récemment remédié à un grave problème de cross-site scripting (XSS). Par conséquent, tous les administrateurs de WordPress doivent vérifier que leurs sites sont correctement mis à jour pour tous les plugins installés afin d'éviter les risques de sécurité.
Fais-nous part de tes réflexions dans les commentaires.
