🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH ICAR Việt Nam đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Eabia đã đăng ký tín nhiệm. 🔥                    🔥 Cục thông tin khoa học và công nghệ quốc gia đã đăng ký tín nhiệm. 🔥                   

Jetpack khắc phục lỗ hổng nghiêm trọng gây tiết lộ thông tin tồn tại từ năm 2016

15/10/2024

Đầu tuần này, nhà cung cấp plugin WordPress Jetpack đã phát hành bản cập nhật bảo mật quan trọng để giải quyết một lỗ hổng cho phép người dùng đã đăng nhập truy cập vào các biểu mẫu được gửi bởi những người truy cập khác vào trang web.

Jetpack là một plugin WordPress phổ biến của Automattic, nó cung cấp các công cụ để cải thiện chức năng, bảo mật và hiệu suất của trang web. Theo nhà cung cấp, plugin này được đã được cài đặt trên 27 triệu trang web.

Vấn đề này được phát hiện trong quá trình kiểm tra nội bộ và ảnh hưởng đến tất cả các phiên bản Jetpack kể từ phiên bản 3.9.9 được phát hành năm 2016.

"Trong quá trình kiểm tra bảo mật nội bộ, chúng tôi đã phát hiện ra lỗ hổng trong tính năng Biểu mẫu liên hệ (Contact Form) trong Jetpack kể từ phiên bản 3.9.9, phát hành năm 2016", bản tư vấn bảo mật viết.

"Lỗ hổng này có thể bị bất kỳ người dùng nào đã đăng nhập trên trang web lợi dụng để đọc các biểu mẫu do khách truy cập trên trang web gửi đến."

Automattic đã phát hành bản sửa lỗi cho 101 phiên bản Jetpack bị ảnh hưởng, tất cả được liệt kê dưới đây:

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10

Chủ sở hữu và quản trị viên trang web sử dụng Jetpack cần kiểm tra xem plugin của họ có tự động nâng cấp lên một trong các phiên bản được liệt kê ở trên hay không và thực hiện nâng cấp thủ công nếu không được nâng cấp tự động.

Jetpack cho biết không có bằng chứng nào cho thấy kẻ xấu đã khai thác lỗ hổng này trong suốt 8 năm tồn tại của nó, nhưng hãng khuyên người dùng nên nâng cấp lên bản vá càng sớm càng tốt để giảm thiểu các rủi ro tiềm ẩn.

Không có biện pháp giảm thiểu hoặc giải pháp thay thế nào cho lỗi này, do đó, áp dụng các bản cập nhật hiện có là giải pháp khả thi và được khuyến nghị duy nhất.

Các chi tiết kỹ thuật về lỗ hổng và cách khai thác lỗ hổng này hiện vẫn chưa được tiết lộ để người dùng có thời gian áp dụng các bản cập nhật bảo mật.

Nguồn: bleepingcomputer.com.

scrolltop