WordPress a publié une mise à jour automatique pour corriger une faille critique dans le plugin Jetpack qui est installé sur plus de cinq millions de sites.
La vulnérabilité, découverte lors d’un audit de sécurité interne, réside dans une API présente dans le plugin depuis la version 2.0, publiée en novembre 2012.
«Cette vulnérabilité pourrait être utilisée par les auteurs d’un site pour manipuler n’importe quel fichier de l’installation WordPress», a déclaré Jetpack dans un avis.
102 nouvelles versions de Jetpack ont été publiées pour remédier à ce problème.
Bien qu’il n’y ait aucune preuve que ce problème ait été exploité dans la nature, il n’est pas rare que des failles dans des plugins WordPress populaires soient exploitées par des menaces modernes cherchant à prendre le contrôle des sites à des fins malveillantes.
En novembre 2019, Jetpack a publié la version 7.9.1 pour corriger un défaut dans la façon dont le plugin gère le code d’intégration qui existait depuis juillet 2017.