Jetpack 是一个非常受欢迎的WordPress 插件，其开发人员强制安装了一个紧急更新，以修复威胁超过 500 万个网站安全的漏洞。 据 Bleeping Computer 报道，化名为 nguyenhg_vcs 的用户发现了 Jetpack 处理不同图像评论的安全漏洞。一经确定，Automattic(该公司构建和管理 WordPress(世界上最受欢迎的内容管理系统之一)和 Jetpack(一个提供许多好处的插件，从额外的安全性、改进的性能到各种管理功能)准备了安全更新和，由于威胁的严重性，决定将其推到所有人身上。

到目前为止，已经更新了大约 500 万个网站，下载统计页面显示几乎所有受影响的网站都受到保护。我们不知道该错误实际上允许黑客做什么的详细信息，但我们知道 Automattic 通过添加进一步的授权逻辑修复了它。

添加了近十年前的版本，因为补丁解决了从 Jetpack 2.0 开始的问题。

没有利用证据

Automattic 表示，没有证据表明该漏洞被广泛使用，但现在它已经公开，很可能会开始被使用。

“现在更新已经发布，有人试图利用这个漏洞只是时间问题，”开发人员说。

“为了在此过程中为您提供帮助，我们与 WordPress.org 安全团队合作发布了自 2.0 以来每个版本的 Jetpack 的修补版本，”Automattic 说。“大多数网站已经或即将自动更新为安全版本。”

强制更新不是网站管理员特别喜欢的东西，并且经常直言不讳地谈论它们对网站布局及其性能造成的问题。几年前在 Twitter 上解决这个问题时，WordPress 首席开发人员 Andrew Nacin 表示，该公司只做过几次。

Bleeping Computer 提醒说，在 2019 年，开发人员向 Jetpack 用户推送了一个关键的安全更新，修复了处理嵌入代码的错误。