WordPress recientemente instaló a la fuerza un parche en más de cinco millones de sitios web en un intento de mantenerlos a salvo de una falla de alta gravedad recién descubierta.
La falla se encontró en Jetpack, uno de los complementos más populares para el famoso creador de sitios web, que ofrece capacidades adicionales de seguridad, rendimiento y administración de sitios web.
Según la empresa matriz de WordPress, Automattic, el complemento tiene más de cinco millones de instalaciones activas, y los administradores lo usan para hacer copias de seguridad de sus sitios, protegerse contra ataques de fuerza bruta, buscar ataques de malware y más.
La mayoría de los sitios asegurados
«Durante una auditoría de seguridad interna, encontramos una vulnerabilidad con la API disponible en Jetpack desde la versión 2.0, lanzada en 2012», dijo Jeremy Herve, ingeniero de relaciones con desarrolladores de Automatic. «Esta vulnerabilidad podría ser utilizada por los autores en un sitio para manipular cualquier archivo en la instalación de WordPress».
A partir del 30 de mayo, Jetpack 12.1.1 se descargó e instaló en más de 4.350.000 sitios web, según WordPress oficial. datos. Eso representa aproximadamente el 45% de todo el ecosistema de WordPress, lo que significa que aproximadamente el 55% queda desprotegido. Para evitar confusiones, esto incluye instalaciones activas e inactivas. Parece que la mayoría de los sitios web activos han sido parcheados.
No hay evidencia de que se abuse de la falla en la naturaleza, dijo Herve, y agregó que esto ahora probablemente cambiará una vez que la vulnerabilidad se exponga públicamente.
“No tenemos evidencia de que esta vulnerabilidad haya sido explotada en la naturaleza. Sin embargo, ahora que se lanzó la actualización, es posible que alguien intente aprovechar esta vulnerabilidad”, agregó.
«Actualice su versión de Jetpack lo antes posible para garantizar la seguridad de su sitio. Para ayudarlo en este proceso, hemos trabajado en estrecha colaboración con el equipo de seguridad de WordPress.org para lanzar versiones parcheadas de cada versión de Jetpack desde 2.0. La mayoría los sitios web se han actualizado o pronto se actualizarán automáticamente a una versión segura».
La última vez que WordPress instaló a la fuerza una actualización importante fue hace casi un año, en junio de 2022, cuando abordó una falla de alta gravedad en Ninja Forms. El complemento, que contaba con más de un millón de instalaciones en ese momento, permitía a los posibles actores de amenazas apoderarse por completo de un sitio web vulnerable.
A diferencia de la vulnerabilidad de Jetpack, la falla de Ninja Forms estaba siendo abusada en la naturaleza, decían los investigadores en ese momento. Se instó a los usuarios a asegurarse de que su complemento esté actualizado a la versión 3.6.11, en caso de que la actualización automática falle por cualquier motivo.
Vía: BleepingComputer