WordPress dicht Jetpack-lek bij miljoenen sites

Open-source CMS WordPress installeert proactief een herstelling voor miljoenen websites, aan een kwetsbaarheid die werd gedetecteerd bij de multifunctionele plug-in Jetpack.

Automattic, het bedrijf achter open-source content management system WordPress repareert proactief een kwetsbaarheid bij Jetpack. Dat is een multifunctionele plug-in die niet alleen dient om verbeteringen aan websites te managen, maar Jetpack heeft ook een hele waaier aan veiligheidsfuncties (back-ups maken, malware scannen, veilige log-ins,…). Hij wordt gemonitord door Automattic zelf en is intussen actief in ruim vijf miljoen websites.

Probleem snel opgelost

Volgens ingenieur Jeremy Herve werd tijdens een interne controle een kwetsbaarheid ontdekt in de API van Jetpack. Die zou kunnen worden uitgebuit om data in WordPress-sites te manipuleren.

Intussen wordt oplossing Jetpack 12.1.1 automatisch geïnstalleerd bij WordPress-websites die de plug-in gebruiken. Ruim vier miljoen sites – de meest kwetsbare om te beginnen – kregen de upgrade momenteel al. De rest volgt snel.

Geen (grote) zorgen

Herve benadrukte dat er geen aanwijzingen zijn dat de kwetsbaarheid ook daadwerkelijk werd gebruikt voor aanvallen. Nu de update is gelost, bestaat het risico wel dat kwaadwillige figuren zich gaan focussen op de sites die Jetpack 12.1.1 nog niet meekregen. Daarom roept Jeremy Herve op om de update zo snel mogelijk te installeren.

Hij gaf ook nog aan dat zijn team nauw samenwerkt met WordPress om steeds geüpdatete versies van deze versie van Jetpack te installeren, sinds de release in 2012. De meeste websites beschikken daarom dus intussen over een actuele versie of dat zou snel het geval moeten zijn.

Dit is op korte tijd wel het tweede veiligheidsprobleem bij WordPress; enkele weken geleden was er ook al een kwetsbaarheid bij plug-in Elementor. En in september vorig jaar, toch ook nog niet zo lang geleden, was het de plug-in WPGateway die gelijkaardige kopzorgen veroorzaakte.