WordPress插件Jetpack存在漏洞，暴露数百万个站点

LYA 看雪学院 2021-03-09

近期，WordPress网站的下载量上亿的Jetpack插件被曝存在严重漏洞。

目前，Jetpack 7.9.1已经发布并修复了此漏洞。

因此，WordPress的管理员和用户应尽快更新版本。

Jetpack是什么？

Jetpack是一款应用非常广泛的WordPress免费插件包，以其功能实用、简单易用、安全可靠在众多插件中脱颖而出，受欢迎程度排行前几。

它不仅可以保护你的站点，还具有提高网站访问速度、增加你的受众等诸多功能。

该插件是由WordPress背后的公司Automattic开发和维护的。研究人员在Jetpack嵌入代码的处理方式中发现了这一漏洞，并立即进行修复。

目前Jetpack尚未公布该安全漏洞的详细信息，但据其公告称，影响5.1版本直至2017年7月的所有版本。

使用较多的Jetpack版本

影响范围及最新版本

由Jetpack公布的数据来看，Jetpack的总下载量上亿次，因此其影响范围十分广泛。

Jetpack下载历史记录

但既然发布了新版本，攻击者尝试利用该漏洞只是时间问题。

开发团队还表示，他们与WordPress安全团队合作，为5.1版以后的每个版本的Jetpack发行了补丁程序。

今天发布的版本包括：

5.1.1、5.2.2、5.3.1、5.4.1、5.5.2、5.6.2、5.7.2、5.8.1、5.9.1

6.0.1、6.1.2、6.2 .2、6.3.4、6.4.3、6.5.1、6.6.2、6.7.1、6.8.2、6.9.1

7.0.2、7.1.2、7.2.2、7.3.2、7.4.2 ，7.5.4、7.6.1、7.7.3、7.8.1、7.9.1

如果您使用的不是上述最新版本之一，则会有遭到攻击的风险。

目前大多数网站已经自动更新为安全版本，使用Jetpack的超过500万个WordPress网站中有超过400万个已经更新。

* 本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。

* 原文链接：

https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/