O Jetpack 13.9.1, uma atualização crítica de segurança, foi lançado ontem para corrigir uma vulnerabilidade no recurso Formulário de Contato que estava presente desde 2016. Essa falha permitia que usuários logados de um site acessassem formulários enviados por visitantes.
A vulnerabilidade foi descoberta durante uma auditoria de segurança interna, levando a equipe do Jetpack a colaborar com a equipe de segurança do WordPress.org para lançar patches para todas as versões do Jetpack desde a 3.9.9.
A equipe do Jetpack também alertou: “Não temos evidências de que essa vulnerabilidade tenha sido explorada na natureza. No entanto, agora que a atualização foi lançada, é possível que alguém tente tirar vantagem dessa vulnerabilidade.”
A equipe do Wordfence compartilhou que o plugin é “vulnerável a acesso não autorizado de dados devido a verificações de capacidade ausentes na classe Contact_Form_Endpoint em várias versões até, mas não incluindo, 13.9.1. Isso torna possível para invasores autenticados, com acesso de nível de assinante e acima, ler todos os envios de formulários do Jetpack no site.”
A vulnerabilidade recebeu uma pontuação CVSS de 4,3, e os usuários são aconselhados a atualizar para o Jetpack 13.9.1 para proteger seus sites.
A equipe do Jetpack tranquilizou os usuários, afirmando: “Continuaremos a auditar regularmente todos os aspectos da nossa base de código para garantir que seu site Jetpack permaneça seguro”.