Jetpack, un plugin du CMS WordPress très populaire, a publié une mise à jour de sécurité critique. La version 13.9.1 a été lancée plus tôt dans la journée du 15 octobre 2024 pour corriger une vulnérabilité qui pourrait potentiellement exposer des informations sensibles sur les visiteurs.
La faille, identifiée lors d’un audit de sécurité interne, affecte la fonctionnalité Formulaire de contact dans toutes les versions de Jetpack depuis la 3.9.9, publiée en 2016.
Détails de la vulnérabilité et risques potentiels
La vulnérabilité permet aux utilisateurs connectés d’accéder aux formulaires soumis par les visiteurs, ce qui présente un risque important pour la confidentialité. Bien qu’il n’y ait aucune preuve que cette faille ait été exploitée, la publication de la mise à jour soulève des inquiétudes quant au fait que des acteurs malveillants pourraient tenter de l’exploiter maintenant que le problème est public.
L’équipe de développement de Jetpack a travaillé en étroite collaboration avec l’équipe de sécurité de WordPress.org pour garantir que des versions corrigées sont disponibles pour chaque version concernée depuis la version 3.9.9. Cette collaboration souligne l’urgence et l’importance de remédier rapidement à la faille pour protéger l’intégrité des sites utilisant le plugin.
Les mises à jour automatiques et action de l’utilisateur requise
La plupart des sites Web Jetpack ont été ou seront bientôt automatiquement mis à jour vers une version sécurisée, atténuant ainsi les risques immédiats pour de nombreux utilisateurs. Cependant, il est fortement conseillé aux administrateurs du site de vérifier leur version actuelle de Jetpack et de s’assurer qu’elle est mise à jour vers l’une des versions sécurisées répertoriées.
L’équipe de Jetpack regrette tout inconvénient causé par cette mise à jour
Une liste complète de 101 versions corrigées a été publiée, comprenant les versions de 13.9.1 à 3.9.10. Si votre site exécute l’une de ces versions, il n’est plus vulnérable à ce problème. L’équipe de Jetpack regrette tout inconvénient causé par cette mise à jour mais souligne son engagement à maintenir des normes de sécurité robustes.
« Nous nous excusons pour toute charge de travail supplémentaire que cela pourrait imposer à vos épaules aujourd’hui », a déclaré un porte-parole. « Nous continuerons à auditer régulièrement tous les aspects de notre base de code pour garantir que votre site Jetpack reste sûr. »