Molto spesso parliamo dei diversi problemi che attanagliano i plugin maggiormente utilizzati da coloro che sviluppano siti mediante il CMS WordPress. Uno di essi è sicuramente Jetpack, strumento che consente di migliorare l’utilizzabilità del backend così come l’inserimento di contenuti e la navigabilità dei siti. Nelle scorse settimane era stato scoperto un bug di sicurezza che consentiva a chiunque di visualizzare i dati, anche privati, inseriti nei form all’interno dei siti.
La fortuna in questo caso è stata quella di scoprire tale vulnerabilità grazie ad un’inchiesta partita internamente e riferita però alla versione 3.9.9, che è del 2016, e questo rende un po’ più grave la scoperta oltre che più urgente l’update del plugin. Nella nota ufficiale diffusa dagli sviluppatori del plugin è possibile vedere per intero ed in modo molto chiaro la lunghissima lista di versioni di Jetpack coinvolte nella problematica che è stata definitivamente risolta nell’ultima versione rilasciata, la 13.9.1. Scendendo nel dettaglio del bug, i tecnici hanno spiegato che tramite un problema presente nel modulo Contact Form, il cui funzionamento consente di inserire campi aggiuntivi da compilare oltre la mail ed il nome utente. Mediante lo sfruttamento di questo bug, in sostanza, un malintenzionato poteva carpire tutte le informazioni inserite nei suddetti campi aggiuntivi.
Le considerazioni da fare, adesso, sono molteplici e vanno dall’importanza, per coloro che non hanno attivato gli aggiornamenti automatici dei plugin, di procedere manualmente all’update, mentre tutti coloro che già hanno aggiornato devono magari prestare attenzione ad eventuali attività sospette come l’aggiunta di utenti con privilegi nel backend o qualche strano contenuto all’interno del sito. L’aggiornamento si rende maggiormente urgente adesso anche a causa della diffusione della notizia riguardante la presenza di questa vulnerabilità, quindi tutti coloro che utilizzano Jetpack, in definitiva, devono apprestarsi a portare avanti questa attività, anche se finora il team di sviluppo non ha notato sfruttamenti del bug. Se si pensa che lo strumento in questione è utilizzato da 27 milioni di siti sviluppati con WordPress si ha la misura della potenziale cifra di utenti ancora in pericolo.
In chiusura, poniamo per l’ennesima volta l’accento sulla solita riflessione riguardante l’importanza della cura dei portali sviluppati con i CMS, questo perché come abbiamo visto anche in questo caso ci sono potenziali pericoli che vengono da molto lontano e restano sempre presenti fin quando qualcuno non ne fa le spese. È buona pratica pertanto controllare sempre la presenza di aggiornamenti così come le notizie sulla cybersecurity di WordPress che vengono rilasciate da canali ufficiali e non.
Fonte: 1