Исследователи из компании Sucuri выявили серьёзную уязвимость в популярном модуле Jetpack, который предлагает владельцам веб-сайтов WordPress возможности бесплатно оптимизации, защиты и администрирования. Соответствующий плагин насчитывает более миллиона активных установок. В связи с этим их работа может быть полностью или частично нарушена.
Обнаруженный баг назвали cross-site scripting. Он актуален абсолютно для всех версий Jetpack. Проблема коренится в модуле, позволяющем внедрять твиты, документы, домашнее виде и иные ресурсы в содержимое интернет-сайте. Хакерская атака организуется путём размещения кода на javascript в комментариях.
Скрипт может применяться для кражи куки, используемых для определения, в том числе административных сессий, для перенаправления потока посетителей. Кроме этого, его используют для реализации SEO-спама.
Анжелика Киселева