Një dobësi sigurie në shtojcën Jetpack vendos në rrezik miliona uebfaqe WordPress

Publikuar më: 01-06-2016

jetpack_page-100663634-largePronarët e një uebfaqeje të bazuar në platformën WordPress të menaxhimit të përmbajtjeve online duhet të përditësojnë sa më parë shtojcën Jetpack në mënyrë që të mos jenë të ekspozuar ndaj hakerave.

Jetpack është një shtojcë mjaft e njohur e cila ofron funksionalitete të optimizimit, menaxhimit dhe sigurisë terësisht falas për uebfaqet. Është zhvilluar nga Automattic, kompania pas WordPress.com, dhe numëron 1 milion instalime aktive.

Disa hulumtues nga firma e sigurisë Sucuri zbuluan një dobësi në një skript XSS e cila prek të gjitha versionet e Jetpack që datojnë nga 2012-ta. Problemi fillon tek moduli i kodeve të shkurtuara përmes të cilit përdoruesit mund të shtonin video të jashtme, imazhe, dokumente dhe cicërima në përmbajtjet e tyre. Kjo dobësi mund të shfrytëzohet lehtësisht duke injektuar një kod të dëmshëm Javascript në fushën e komenteve.

Duke qenë se kodi JavaScript është i vazhdueshëm, përdoruesit ndodhen në rrezik saherë që shohin një koment me lidhjet e dëmshme madje edhe pa e klikuar. Mund të shfrytëzohet për të vjedhur cookie e identifikimit madje edhe sesionet e administratorit.

Uebfaqet që nuk kanë të aktivizuar modulin në fjalë nuk janë të rrezikuar. Zhvilluesit e Jetpack kanë punuar me ekipin e sigurisë pranë WordPress për të sjellë një përditësim tek të gjitha versionet e prekura përmes sistemit bërthamë të automatizuar të WordPress. Versioni 4.0.3 i Jetpack përmban këtë rregullim. (PCWorld Albanian)

Një dobësi sigurie në shtojcën Jetpack vendos në rrezik miliona uebfaqe WordPress
0 votes, 0.00 avg. rating (0% score)