Найденная уязвимость в Jetpack позволяет злоумышленнику публиковать записи и страницы на сайте с активным плагином. При определенных настройках сайта, опубликованные записи могут так же содержать код JavaScript, который может легко привести к краже куки аутентификации администратора сайта.
Подобная уязвимость является более чем серьезной, и перед ее разглашением команда разработчиков Jetpack проработали план обновлений, который коснулся многих крупных хостинг-провайдеров, а так же ядро WordPress.
We just released Jetpack 2.9.3, a critical security update. Learn more and update now: http://t.co/nxjenvcBNd
— Jetpack (@jetpack) April 10, 2014
Механизм автоматических обновлений в ядре WordPress начиная с версии 3.7 поддерживает не только само ядро, но и темы и плагины WordPress, хотя подобные обновления отключены по умолчанию. Данный функционал был разработан специально для случаев связанных с безопасностью популярных плагинов, и Jetpack является первым, кто им воспользовался.
Если вы работаете с версией WordPress 3.7.2 или выше, то обновление плагина Jetpack должно произойти автоматически до самой свежей версии в рамках вашей ветки. Например, если вы используете Jetpack версии 2.6, то обновление до версии 2.6.3 произойдет автоматически.
Тем не менее, мы рекомендуем не ждать автоматического обновления, а выполнить обновление вручную, которое по словам разработчиков Jetpack доступно для следующих веток: 1.9.4, 2.0.6, 2.1.4, 2.2.7, 2.3.7, 2.4.4, 2.5.4, 2.6.3, 2.7.2, 2.8.2, и 2.9.3. Если вы владеете большим количеством сайтов, сетью или хостинг-площадкой советуем связаться с командой Jetpack, которая поможет внедрить блокировку на уровне сети.
Интересно отметить, что это уже третье обновление связанное с безопасностью веб-сайтов за эту неделю. Очередное доказательство того, что необходимо всегда обновляться вовремя.