WordPress插件Jetpack修复可能导致信息泄露的漏洞

Jetpack是WordPress中一款非常流行的插件，提供一整套服务来增强网站功能、安全性以及流量增长，目前的安装量超过2700万。

Jetpack可帮助用户创建更优质的内容、增加用户量、赚取收益、确保网站安全、快速和可靠，借助统计信息增加和追踪网站流量。

一、基本情况

Jetpack插件由WordPress.com背后的公司Automattic出品，是一款一体化免费增值插件，旨在增强网站性能、安全性和流量增长。

栋科技漏洞库近日注意到WordPress Jetpack 插件的维护者于2024年10月15日时发布一项重要更新，用于解决一个严重安全漏洞。

该漏洞存在于Jetpack联系表单功能中，可能允许登录用户访问同一站点上其他用户提交的表单，目前没有证据表明漏洞已被利用。

二、漏洞分析

官方介绍，漏洞是Jetpack在内部安全审计中发现的，影响Jetpack自2016年发布的3.9.9以来每个版本，已在13.9.1版本中得到解决。

Jetpack 的 Jeremy Herve表示，该漏洞位于联系表单功能中，网站上的任何登录用户都可以利用该漏洞来读取访问者提交的表单。

Jetpack安全团队与WordPress.org安全团队密切合作，自动将插件更新到已安装站点安全版本，确保3.9.9之后所有版本均已修复。

目前没有证据表明该漏洞已被广泛利用，但漏洞一旦被公布，很有可能有别有用心者尝试利用该漏洞，导致用户数据泄露问题情况。

因此来说，这种紧密合作、自动更新的方式可以最大限度地降低用户的风险并增强插件的整体安全框架，从而确保网站的安全性能。

Jetpack在官方公告中对于此次漏洞的问题深表歉意，并且承诺将继续定期审核代码库的各个方面，从而确保Jetpack网站保持安全。

三、漏洞影响

以下是 Jetpack 发布的 101 个不同版本的完整列表：

13.9.1、13.8.2、13.7.1、13.6.1、13.5.1、13.4.4、13.3.2、13.2.3、13.1.4、13.0.1；

12.9.4、12.8.2、12.7.2、12.6.3、12.5.1、12.4.1、12.3.1、12.2.2、12.1.2、12.0.2；

11.9.3、11.8.6、11.7.3、11.6.2、11.5.3、 11.4.2、11.3.4、11.2.2、11.1.4、11.0.2；

10.9.3、10.8.2、10.7.2、10.6.2、10.5.3、10.4.2、10.3.2、10.2.3、10.1.2、10.0.2；

9.9.3、9.8.3、9.7.3、9.6.4、9.5.5、9.4.4、9.3.5、9.2.4、9.1.3、9.0.5；

8.9.4、8.8.5、8.7.4、8.6.4、8.5.3、8.4.5、8.3.3、8.2.6、8.1.4、8.0.3；

7.9.4、7.8.4、7.7.6、7.6.4、7.5.7、7.4.5、7.3.5、7.2.5、7.1.5、7.0.5；

6.9.4、6.8.5、6.7.4、6.6.5、6.5.4、 6.4.6、6.3.7、6.2.5、6.1.5、6.0.4；

5.9.4、5.8.4、5.7.5、5.6.5、5.5.5、5.4.4、5.3.4、5.2.5、5.1.4、5.0.3；

4.9.3、4.8.5、4.7.4、4.6.3、4.5.3、4.4.5、4.3.5、4.2.5、4.1.4、4.0.7；

3.9.10。

四、安全措施

为了使更新过程无缝，大多数使用 Jetpack 插件的网站已经或即将自动更新到安全版本。