Millions of WordPress Sites Patched Against Critical Jetpack Vulnerability
2023/05/31 SecurityWeek — この数日の間に、約 500万件の WordPress サイトに適用された自動アップデートにより、2012年に発生した深刻な脆弱性が修正された。Automattic 社により管理されている Jetpack は、マルウェア・スキャン/リアルタイム・バックアップと復元、スパムとブルートフォースに対する保護などの、セキュリティ機能を提供する WordPress プラグインである。これらのセキュリティ・ツールは、500万以上のアクティブ・インストールを持つという、このコンテンツ管理システムにおける最も人気のプラグインの1つとなっている。
5月30日 (火) に Automattic は、Jetpack 2.0 以降の全てのプラグイン・バージョンに影響を与える、この脆弱性に対処する重要なセキュリティ・アップデートを開始したと発表した。
Automattic は、「内部セキュリティ監査において、2012年にリリースされたバージョン 2.0 以降の Jetpack で利用できる、API に脆弱性が存在することが判明した。この脆弱性がサイト上の Authors に悪用されると、WordPress 内の任意のファイルが操作される可能性が生じる」と述べている。
全体で 102 種類の Jetpack のバージョンが更新され、パッチは自動的にユーザーに展開された。この2日間で、500万件近くの安全な Jetpack がダウンロードされ、影響を受ける大半の Web サイトが更新を受けたことになる。
Automattic によると、この脆弱性が悪意の攻撃で利用されたという証拠はないとのことだ。しかし、一般論として、WordPress プラグインの脆弱性が悪用されると被害が拡大する可能性があるため、サイバー犯罪者にとって魅力的な標的となっている。
WordPress サイトの所有者に対しては、Jetpack のインストールが最新であることの確認が推奨される。今週にリリースされた 102 種類のプラグイン・バージョンについては、Automattic が完全なリストを提供している。
Jetpack は WordPress.com でも利用されている、最も安全なプラグインというイメージがあるので、驚いた人も多いのではないでしょうか。それに加えて、かなり古いバージョンから存在していたようなので、その点が心配です。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.