WordPress 플러그인 Jetpack은 오늘 오전에 중요한 보안 업데이트를 출시하여 로그인한 사용자가 다른 방문자가 사이트에 제출한 양식에 액세스할 수 있는 취약점을 해결했습니다.
Jetpack은 웹 사이트 기능, 보안 및 성능을 향상시키는 도구를 제공하는 Automattic의 인기 있는 WordPress 플러그인입니다. 공급업체에 따르면 이 플러그인은 2,700만 개의 웹사이트에 설치되어 있습니다.
이 문제는 내부 감사 중에 발견되었으며 2016년에 출시된 3.9.9 이후의 모든 Jetpack 버전에 영향을 미칩니다.
보안 게시판에는 “내부 보안 감사 중에 2016년 출시된 버전 3.9.9 이후 Jetpack의 문의 양식 기능에 대한 취약점을 발견했습니다.”라고 적혀 있습니다.
“이 취약점은 사이트에 로그인한 모든 사용자가 사이트 방문자가 제출한 양식을 읽는 데 사용될 수 있습니다.”
Automattic은 영향을 받는 Jetpack 버전 101개에 대한 수정 사항을 출시했습니다. 모두 아래에 나열되어 있습니다.
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Jetpack을 사용하는 웹사이트 소유자와 관리자는 플러그인이 위에 나열된 버전 중 하나로 자동 업그레이드되었는지 확인하고, 그렇지 않은 경우 수동 업그레이드를 수행해야 합니다.
Jetpack은 8년 동안 악의적인 행위자가 이 결함을 악용했다는 증거는 없지만 사용자에게 가능한 한 빨리 패치 릴리스로 업그레이드할 것을 권고합니다.
Jetpack은 “이 취약점이 실제로 악용되었다는 증거는 없습니다. 그러나 이제 업데이트가 릴리스되었으므로 누군가가 이 취약점을 이용하려고 시도할 가능성이 있습니다”라고 경고했습니다.
이 결함에 대한 완화나 해결 방법은 없으므로 사용 가능한 업데이트를 적용하는 것이 유일하게 사용 가능하고 권장되는 솔루션입니다.
사용자가 보안 업데이트를 적용할 수 있는 시간을 제공하기 위해 결함과 이를 악용할 수 있는 방법에 대한 기술적인 세부 정보는 현재 보류되었습니다.
