Le plug-in Jetpack, très populaire, permet d’ajouter gratuitement aux sites WordPress des fonctions d'optimisation, de gestion et de sécurité. Développé par l’éditeur Automattic, dépositaire de WordPress.com et du projet open source WordPress, le plug-in a été installé plus de 1 million de fois. Mais, les chercheurs de l’entreprise de sécurité Internet Sucuri ont trouvé une vulnérabilité cross-site scripting (XSS) dans toutes les versions de Jetpack livrées depuis 2012, à partir de la version 2.0. La faille a été identifiée dans le module Shortcode Embeds Jetpack qui permet aux utilisateurs d'intégrer des vidéos externes, des images, des documents, des tweets et d’autres ressources à leur contenu. Or cette vulnérabilité peut être facilement exploitée pour injecter du code JavaScript malveillant dans les commentaires.
Étant donné que le code JavaScript est persistant, il est exécuté dans le navigateur des utilisateurs chaque fois qu'ils consultent le commentaire sur le site affecté. La vulnérabilité peut servir à voler les cookies d'authentification, y compris de la session administrateur et rediriger les visiteurs vers des programmes d'exploits, ou injecter du spam SEO. « La faille est facilement exploitable via wp-comments et nous recommandons à chacun de mettre à jour le plug-in dès que possible, si ce n’est pas déjà fait », a déclaré dans un billet le chercheur de Sucuri, Marc-Alexandre Montpas. Les sites sur lesquels le module Shortcode Embeds n’a pas été activé ne sont pas concernés par la vulnérabilité, mais les fonctions apportées par ce module sont très populaires et il est probable que beaucoup de sites l’ont activé.
21 correctifs distincts pour chaque version de Jetpack
Les développeurs du plug-in Jetpack ont travaillé avec l'équipe de sécurité de WordPress pour livrer via le système de mise à jour automatique de WordPress, des correctifs pour toutes les versions affectées. Les versions Jetpack 4.0.3 ou plus récentes ont déjà été corrigées. Au cas où les utilisateurs ne veulent pas charger la dernière version du plug-in, les développeurs ont livré 21 correctifs distincts pour chaque version de Jetpack, à savoir 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 et 4.0.3.