Jetpack 2.9.3 beinhaltet ein Update für eine kritischer Sicherheitslücke. Ein Update wird dringendst empfohlen. Aktualisieren kannst Du entweder über das Dashboard oder Jetpack manuell hier herunterladen (zip).

Soeben wurde im offiziellen Jetpack Blog bekannt gegeben, dass in den Jetpack Versionen ab Version 1.9 (Oktober 2012) eine kritische Sicherheitslücke mit der Nummer CVE-2014-0173 besteht. Diese Lücke wurde durch einen internen Sicherheits-Audit erkannt und erlaubt es einen Angreifer die Zugangskontrollen zu umgehen um so Beiträge zu veröffentlichen.

Es ist nicht bekannt, ob diese Sicherheitslücke bereits ausgenutzt wurde, da sie aber nun veröffentlicht wurde, ist es nur eine Frage der Zeit, bis die ersten Exploits veröffentlicht werden.

Für der Umgang mit der Sicherheitslücke wurde eng mit dem Sicherheitsteam für WordPress zusammengearbeitet. Jetpack (ab Version 1.9) ist das erste Plugin, welches durch WordPress und seinen automatischen Aktualisierungsprozess auf die aktuellste Version aktualisiert wird. Dieser Prozess ist bereits seit etwa 10 Stunden aktiv.

Jetpack ist eins der meistgenutzten Plugins mit aktuell 9,5 Millionen Downloads und ist eine Sammlung von Tools für WordPress, die das selbstgehostete Blog mit Funktionen der Blogging-Plattform WordPress.com anreichern.

Finding and fixing bugs is a key part of software development. I can’t promise there will never be another issue like this, but I can promise that when a problem is found we will do everything in our power to protect as many people as possible, as quickly as possible. We care deeply about each and every WordPress user.

– George Stephanis, Jetpack Entwickler