WordPress hat kürzlich die Installation eines Patches auf mehr als fünf Millionen Websites erzwungen, um sie vor einem neu entdeckten, schwerwiegenden Fehler zu schützen.
Der Fehler wurde in Jetpack gefunden, einem der beliebtesten Plugins für den berühmten Website-Builder, das zusätzliche Sicherheits-, Leistungs- und Website-Verwaltungsfunktionen bietet.
Nach Angaben der WordPress-Muttergesellschaft Automattic verfügt das Plugin über mehr als fünf Millionen aktive Installationen. Administratoren nutzen es zum Sichern ihrer Websites, zum Schutz vor Brute-Force-Angriffen, zum Scannen nach Malware-Angriffen und mehr.
Die meisten Websites sind gesichert
„Während einer internen Sicherheitsüberprüfung haben wir eine Schwachstelle in der API gefunden, die in Jetpack seit der 2012 veröffentlichten Version 2.0 verfügbar ist“, sagte Jeremy Herve, Auttomatic Developer Relations Engineer. „Diese Sicherheitslücke könnte von Autoren einer Website genutzt werden, um beliebige Dateien in der WordPress-Installation zu manipulieren.“
Laut offiziellem WordPress wurde Jetpack 12.1.1 bis zum 30. Mai auf mehr als 4.350.000 Websites heruntergeladen und installiert Daten. Das macht etwa 45 % des gesamten WordPress-Ökosystems aus, was bedeutet, dass etwa 55 % ungeschützt bleiben. Um Verwirrung zu vermeiden, umfasst dies sowohl aktive als auch inaktive Installationen. Es scheint, dass die meisten aktiven Websites gepatcht wurden.
Es gebe keine Beweise dafür, dass die Schwachstelle in freier Wildbahn missbraucht werde, sagte Herve und führte weiter aus, dass sich dies nun wahrscheinlich ändern werde, sobald die Schwachstelle öffentlich bekannt werde.
„Wir haben keine Beweise dafür, dass diese Sicherheitslücke ausgenutzt wurde. Da das Update nun veröffentlicht wurde, besteht jedoch die Möglichkeit, dass jemand versucht, diese Sicherheitslücke auszunutzen“, fügte er hinzu.
„Bitte aktualisieren Sie Ihre Jetpack-Version so schnell wie möglich, um die Sicherheit Ihrer Website zu gewährleisten. Um Sie bei diesem Prozess zu unterstützen, haben wir eng mit dem WordPress.org-Sicherheitsteam zusammengearbeitet, um seit 2.0 gepatchte Versionen jeder Jetpack-Version zu veröffentlichen Websites wurden oder werden bald automatisch auf eine gesicherte Version aktualisiert.“
Das letzte Mal, dass WordPress eine Zwangsinstallation eines größeren Updates durchführte, war vor fast einem Jahr, im Juni 2022, als es einen schwerwiegenden Fehler in Ninja Forms behob. Das Plugin, das damals mehr als eine Million Mal installiert wurde, ermöglichte es potenziellen Bedrohungsakteuren, eine anfällige Website vollständig zu übernehmen.
Anders als die Jetpack-Schwachstelle wurde die Schwachstelle von Ninja Forms in freier Wildbahn missbraucht, sagten Forscher damals. Benutzer wurden dringend gebeten, sicherzustellen, dass ihr Plugin auf Version 3.6.11 aktualisiert wurde, falls die automatische Aktualisierung aus irgendeinem Grund fehlschlägt.
Über: BleepingComputer