WordPress telah mengeluarkan pembaruan otomatis untuk mengatasi kelemahan kritis pada plugin Jetpack yang terinstal di lebih dari lima juta situs.
Kerentanan, yang ditemukan selama audit keamanan internal, berada di API yang ada di plugin sejak versi 2.0, yang dirilis pada November 2012.
Kerentanan ini dapat digunakan untuk memanipulasi file apa pun di instalasi WordPress, ungkap Jetpack dalam tulisan. 102 versi baru Jetpack telah dirilis untuk memperbaiki bug tersebut.
Meskipun tidak ada bukti bahwa masalah ini telah dieksploitasi secara liar, tidak jarang kelemahan pada plugin WordPress populer dimanfaatkan oleh pelaku ancaman yang ingin mengambil alih situs untuk tujuan jahat.
Ini bukan kali pertama kelemahan keamanan yang parah di Jetpack yang mengharuskan WordPress untuk menginstal paksa patch.
Pada November 2019, Jetpack merilis versi 7.9.1 untuk memperbaiki cacat pada plugin dalam menangani kode semat yang telah ada sejak Juli 2017 (versi 5.1).
Perkembangan ini juga terjadi ketika Patchstack mengungkapkan kelemahan keamanan dalam plugin Gravity Forms premium yang memungkinkan pengguna yang tidak diautentikasi menyuntikkan kode PHP.
Masalah (CVE-2023-28782) memengaruhi semua versi dari 2.7.3 dan yang lebih lama. Itu telah diatasi dalam versi 2.7.4, yang telah tersedia sejak11 April 2023.
Sumber : TheHackerNews