WordPress の Jetpack に深刻な脆弱性：８年間にわたり発見されず悪用されず・・・

Jetpack fixes critical information disclosure flaw existing since 2016

2024/10/14 BleepingComputer — 今日になって、WordPress Jetpack がリリースしたのは、深刻な問題に対する重要なセキュリティ・アップデートである。このアップデートでは、サイトにログインしたユーザーが、ビジターにより送信されたフォームにアクセスできるという、脆弱性が修正されている。Jetpack は、Automattic が開発した人気の WordPress プラグインであり、Web サイトを強化する機能と、セキュリティやパフォーマンスを高めるツールを提供している。WordPress によると、この Jetpack プラグインは、2,700 万の Web サイトにインストールされているという。

この内部監査中に発見された問題は、2016 年にリリースされた 3.9.9 以降の、すべての Jetpack バージョンに影響を及ぼす。

同社のセキュリティ・アドバイザリには、「内部セキュリティ監査中に、2016 年にリリースされたバージョン 3.9.9 以降における、Jetpack の問い合わせフォーム機能に脆弱性が発見された。この脆弱性により、サイトにログインしている全ユーザーが、サイトへのビジターが送信したフォームを読み取ることが可能になる」と記されている。

すでに Automattic は、Jetpack の修正プログラムをリリースし、この問題に対処している。影響を受けるバージョンは、以下のリストに記されている：

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10

Jetpack を利用する Web サイトの所有者／管理者にとって必要なことは、使用しているプラグインが自動的にアップグレードされていることを確認し、もし、アップグレードが行われていない場合には、手動で対処することである。

Jetpack によると、この脆弱性は８年間にわたり存在していたが、その間に悪用されたという証拠はないという。ただし、パッチ適用されたバージョンへと、可能な限り早急にアップグレードするようユーザーにアドバイスしている。

Jetpack は、「この脆弱性が実際に悪用されたという証拠はない。ただし、アップデートがリリースされたことで、この脆弱性を悪用しようとする、脅威アクターが登場する可能性が生じている」と警告している。

なお、この脆弱性に対する緩和策や回避策は存在しない。したがって、提供されているアップデートを適用することが、唯一の推奨ソリューションであることに注意してほしい。

この脆弱性に関する技術的な詳細と悪用方法は、ユーザーに対してアップデート適用の時間を与えるために、現時点では公表されていない。

このブログが置かれている WordPress.com でも、サイトのステータス分析で Jetpack が使われています。プラグインではありますが、Automattic 自身が提供するものであり、安全性も高いものになっているはずです。それでも、このような脆弱性が、長年にわたって存在していたことが判明するという、ちょっと驚きの展開です。それにしても、悪用されず、良かったですね。よろしければ、WordPress で検索も、ご利用ください。

M	T	W	T	F	S	S
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

Share this: