Vulnerabilidad crítica en Jetpack
Descripción
El complemento Jetpack de WordPress lanzó una actualización de seguridad crítica para resolver una vulnerabilidad que permitía a los usuarios autenticados acceder a formularios enviados por otros visitantes.
Jetpack, desarrollado por Automattic, es un complemento popular que mejora la funcionalidad, seguridad y rendimiento de los sitios web en WordPress. Durante una auditoría de seguridad interna, se detectó una vulnerabilidad en la función de formulario de contacto de Jetpack desde la versión 3.9.9 (lanzada en 2016), que podría haber permitido a cualquier usuario con una sesión iniciada leer los formularios de otros visitantes.
Aunque no hay evidencia de que esta vulnerabilidad haya sido explotada, ahora que se ha lanzado la actualización, existe el riesgo de que alguien intente aprovecharla. Para mitigar el impacto, Jetpack trabajó con el equipo de complementos de WordPress.org para publicar parches en todas las versiones desde la 3.9.9. En caso de tener activas las actualizaciones automáticas de plugins, éste se actualizará automáticamente y no será necesaria ninguna acción adicional. Sin embargo, si no lo tiene activo, deberá actualizarlo manualmente. En ambos casos se recomienda revisar la versión para asegurar que la actualización haya sido exitosa.