Os desenvolvedores do plugin Jetpack para WordPress lançaram uma atualização de segurança para corrigir uma vulnerabilidade crítica que permitia a usuários logados acessar formulários submetidos por outros visitantes de um site. O Jetpack é um plugin multifuncional usado em cerca de 27 milhões de sites, oferecendo ferramentas para segurança, desempenho e crescimento de tráfego. A falha, descoberta durante uma auditoria interna de segurança do Jetpack, afetava a funcionalidade de formulário de contato desde a versão 3.9.9, lançada em 2016.

Segundo Jeremy Herve, do Jetpack, qualquer usuário logado poderia explorar essa vulnerabilidade para ler formulários enviados por visitantes do site, o que levantava preocupações sobre privacidade. O Jetpack trabalhou em conjunto com a equipe de segurança do WordPress.org para garantir que o plugin fosse atualizado automaticamente para uma versão segura nos sites instalados. A vulnerabilidade foi corrigida em 101 diferentes versões do plugin, desde a 3.9.10 até a mais recente.

Embora não haja evidências de que essa falha tenha sido explorada até o momento, sua divulgação pública aumenta o risco de que possa ser utilizada em ataques futuros. Vale lembrar que, em junho de 2023, o Jetpack também corrigiu outra falha crítica que estava presente desde 2012.

Além disso, essa correção acontece em um momento de disputa entre Matt Mullenweg, fundador do WordPress, e o provedor de hospedagem WP Engine, relacionado ao plugin Advanced Custom Fields (ACF). O WordPress.org assumiu o controle do ACF e criou um fork chamado Secure Custom Fields, alegando a necessidade de remover upsells comerciais e corrigir um problema de segurança. Segundo Mullenweg, essa atualização é mínima, focada apenas na resolução do problema de segurança.