Kritiek beveiligingslek ontdekt in WordPress-plug-in Jetpack

Een intern veiligheidsonderzoek heeft een ernstige kwetsbaarheid aan het licht gebracht in Jetpack, een populaire plug-in voor WordPress-websites. Dit lek, dat al sinds 2016 aanwezig is, stelt ingelogde gebruikers in staat om ingediende contactformulieren te lezen.

Automattic, de ontwikkelaar van Jetpack, geeft geen technische details vrij over het lek, zodat gebruikers de tijd hebben om hun beveiliging te verbeteren. Hoewel er tot nu toe geen aanwijzingen zijn dat de kwetsbaarheid is misbruikt, adviseert Automattic gebruikers om hun plug-in zo snel mogelijk te updaten.

Er zijn patches uitgebracht voor 101 versies van de plug-in, variërend van 3.9.9 tot de recentste versie 13.9.1. De meeste websites zullen automatisch worden bijgewerkt naar een beveiligde versie. Voor sitebeheerders die handmatig moeten updaten, benadrukt Automattic dat er geen alternatieve oplossingen zijn; alleen door de update te installeren, kan het probleem worden verholpen.

Door Andrei Stiru

Redacteur

Feedback • 15-10-2024 14:05
26 • submitter: Anonymoussaurus

15-10-2024 • 14:05

26

Submitter: Anonymoussaurus

Lees meer

WordPress.com laat gebruikers website bouwen met alleen AI
WordPress.com laat gebruikers website bouwen met alleen AI Nieuws van 10 april 2025
Automattic deactiveert accounts van WordPress-ontwikkelaars na kritiek
Automattic deactiveert accounts van WordPress-ontwikkelaars na kritiek Nieuws van 12 januari 2025
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en Nieuws van 18 oktober 2024
WordPress neemt populaire WP Engine-plug-in ACF zonder toestemming over
WordPress neemt populaire WP Engine-plug-in ACF zonder toestemming over Nieuws van 13 oktober 2024
WP Engine klaagt WordPress na verbanning aan voor machtsmisbruik
WP Engine klaagt WordPress na verbanning aan voor machtsmisbruik Nieuws van 3 oktober 2024
WordPress bant WP Engine van eigen servers, klanten kunnen niet bij plug-ins
WordPress bant WP Engine van eigen servers, klanten kunnen niet bij plug-ins Nieuws van 27 september 2024
Strato brengt websitebouwer Smartwebsite 'op basis van AI' uit
Strato brengt websitebouwer Smartwebsite 'op basis van AI' uit Nieuws van 5 juli 2024
Moederbedrijf WordPress.com koopt chatapp Beeper
Moederbedrijf WordPress.com koopt chatapp Beeper Nieuws van 9 april 2024
SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand
SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand Nieuws van 14 maart 2024
'Tumblr en WordPress.com gaan gebruikersdata verkopen aan Midjourney en OpenAI'
'Tumblr en WordPress.com gaan gebruikersdata verkopen aan Midjourney en OpenAI' Nieuws van 28 februari 2024
WordPress onthult Jetpack AI Assistant voor automatisch genereren blogs
WordPress onthult Jetpack AI Assistant voor automatisch genereren blogs Nieuws van 7 juni 2023
Meer producten en artikelen
Beveiliging en antivirus Websites en community's Veiligheid Wordpress

Reacties (26)

-Moderatie-faq
26
26
11
1
0
13
Wijzig sortering
willemb2 15 oktober 2024 14:58
Ik kan niet over dit lek oordelen, maar na 15 jaar met WordPress blijf ik uit de buurt van plug-ins van bedrijven die ook op een andere manier aan WordPress verdienen. Dus voor mij geen plug-ins van Automattic, WPengine of Liquidweb (= StellarWP van o.a. The Events Calendar).
RoestVrijStaal @willemb216 oktober 2024 00:28
Ik kan niet over dit lek oordelen, maar na 15 jaar met WordPress (...) Dus voor mij geen plug-ins van Automattic, (...)
Hoe kun jij nou 15 jaar onwetend zijn dat Automattic de facto het bedrijf achter WordPress is?
MaestroMaus @RoestVrijStaal16 oktober 2024 09:20
Buiten dat; is het sowieso een hele rare redenatie. Bedrijven willen hun klanten behouden en nieuwe klanten krijgen. In het geval van software leveranciers betekent dit dus onder meer goede software leveren. Het kan natuurlijk zijn dat een bedrijf in de praktijk niet de kwaliteit levert die klanten zouden mogen verwachten op basis van de sales-pitch of dat een open-source project een beter alternatief biedt. Maar het is niet per definitie zo dat bedrijven slechtere software leveren. Er zijn van zowel bedrijven als van open-source projecten genoeg voorbeelden van slechte prestaties.
willemb2 @RoestVrijStaal16 oktober 2024 15:54
Hoe kun jij nou 15 jaar onwetend zijn dat Automattic de facto het bedrijf achter WordPress is?
Dat was ik niet. Ik weet al 15 jaar dat WordPress een open-source project is met Automattic als belangrijkste bijdrager. De relatie van Automattic met JetPack, WP.com, MailPoet en Woocommerce is een heel andere. Dat zijn echt de producten waar ze direct geld aan moeten verdienen.
Mijn ervaring is dat je met plug-ins van dergelijke bedrijven altijd gedoe hebt. Je wordt via het freemium-model naar betaalde add-ons gezogen die van matige tot slechte kwaliteit blijken. En zoek je ondersteuning krijg je te maken met mensen die meer training hebben in commerciële communicatie dan in PHP.

Met bedrijven die puur alleen aan de plug-in verdienen zoals Ninja Forms en Newsletter heb ik veel betere ervaringen.
Matthijz98 15 oktober 2024 14:12
Zou het stiekem onderdeel zijn van ruzie met WP-engine.
Want die krijgen de update niet.
Of is dat te ver gedacht en is het gewoon toeval.
Martijntj @Matthijz9815 oktober 2024 14:16
Je zou op z'n minst kunnen stellen dat er dusdanige reputatieschade is ontstaan dat dit soort zaken nu sowieso onder een vergrootglas liggen, los van of het een ernstig lek is.
CH4OS @Matthijz9815 oktober 2024 14:25
Waar maak je uit op dat zij de update niet krijgen? Voor hetzelfde geld heeft WP-Engine dus handmatig zelf de plug-in geïnstalleerd en in dat geval dienen ze ook zelf de plugin op hun omgeving bij te werken, net zoals dat elke self-hoster dat zelf moet doen.
MrCuddles @CH4OS16 oktober 2024 10:12
Omdat WP-Engine niet langer toegang heeft tot de servers van WordPress (Automattic) om de update binnen te halen.

https://tweakers.net/nieu...-voor-machtsmisbruik.html
CH4OS @MrCuddles16 oktober 2024 10:18
Er zijn vele wegen die naar Rome leiden. We weten massaal VPN te vinden voor het omzeilen van geolocatie blokkeringen van streamingdiensten, maar hiervoor gaan we ineens niet aan dergelijke opties denken? ;) Dat WordPress WP-Engine verbannen heeft is vooral om een statement te maken naar de bühne toe, ik mag hopen dat dergelijke blokkeringen voor de rest alleen maar een horde zijn, die gemakkelijk overwonnen zijn. Daarnaast is de plugin ook gewoon beschikbaar op GitHub, die WP-Engine vast niet verbannen heeft. ;)
MrCuddles @CH4OS16 oktober 2024 10:45
Hoogstwaarschijnlijk heeft WP-Engine de update al lang op eigen servers gezet waardoor gebruikers van hun met een druk op de knop kunnen updaten.
CH4OS @MrCuddles16 oktober 2024 10:53
Daar ga ik dan ook wel van uit inderdaad. :)
SPee @Matthijz9815 oktober 2024 18:00
Dacht ik ook aan.
Een klein foutje en dan gelijk groter opblazen: *Kritiek beveiligingslek, gelijk updaten!!* (maar wel alleen via ons)
En dan hopen dat de WPEngine klanten gaan klagen en/of overstappen om die update binnen te krijgen.
Stefalicious @SPee16 oktober 2024 21:01
Wij van wc eend adviseren wc eend
Stroopwafels 15 oktober 2024 14:35
Automattic, de ontwikkelaar van Jetpack, geeft geen technische details vrij over het lek, zodat gebruikers de tijd hebben om hun beveiliging te verbeteren.
Er staat wel in het artikel op Jetpack.com:
During an internal security audit, we found a vulnerability with the Contact Form feature in Jetpack ever since version 3.9.9, released in 2016. This vulnerability could be used by any logged in users on a site to read forms submitted by visitors on the site.
Als we naar de diff kijken van 13.9.1 en 13.9 is het vrij snel duidelijk dat het een access control probleem is waar gebruikers die ingelogd zijn berichten kunnen zien van andere mensen die via een contactformulier verstuurd zijn. Of dit heel kritiek is kan je over twijfelen, over het algemeen heeft de gemiddelde WordPress site niet zoveel waardevolle informatie ontvangen via een contactformulier (spam terzijde).

Persoonlijk vind ik dit niet nieuwswaardig en zou ik dit een CVSS score van 4.3 geven: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N. Vergeleken met andere kwetsbaarheden die regelmatig in de WordPress eco-system voorkomen stelt dit absoluut niks voor.

[Reactie gewijzigd door Stroopwafels op 15 oktober 2024 14:37]

mocean @Stroopwafels15 oktober 2024 14:51
Nou, er zijn echt wel huisartsen, coaches, therapeuten, webshops etc. etc. die Wordpress gebruiken (verstandig of niet), dus het lijkt me best een issue.
Robbierut4 @mocean15 oktober 2024 15:10
Er zijn inderdaad genoeg huisartsen die een wordpress website hebben.

Al het patientcontact gaat echter via beveiligde platformen, niet via een wordpress contactformulier.
JustSomeWords @Robbierut415 oktober 2024 15:59
Vergis je niet in wat voor informatie mensen delen in een algemene contact optie. Ik werk zelf aan klantenservice software en wij hebben een NEN 7510 certificering voor informatie beveiliging in de zorg omdat ondanks dat het alleen maar een algemene contact optie is op publieke websites men er allerlei medische gegevens in deelt. De huisartsen en ander medische beroepen zullen (hopelijk) wel beter weten dan medische gegevens te bespreken via zo'n contact optie, maar veel van hun patiënten zien geen verschil tussen een beveiligd platform en een publieke contact optie op de website.
MrFax @JustSomeWords15 oktober 2024 21:39
Wat dacht je van een huisarts(assistent) die vraagt je een foto van een huidaandoeing op de mail te sturen :')

Ik heb dat gelukkig (nog) niet meegemaakt, maar dat blijkt tegenwoordig heel erg populair. Lijkt me tegen alle standaarden in de zorg in te gaan, maar ja.

[Reactie gewijzigd door MrFax op 15 oktober 2024 21:40]

aikebah @Stroopwafels15 oktober 2024 21:30
De C moet een High zijn, want de C gaat niet primair over of de informatie die je kunt krijgen gevoelig is of niet, maar over hoe sterk de impact is mbt beschikbaar krijgen van informatie die niet toegankelijk hoort te zijn.
De high kent enkel een toevoeging over dat het alsnog high is als de confidentiality breuk beperkt is (zou normaal low kunnen krijgen), maar wel zorgt voor het breken van de vertrouwelijkheid van bovengemiddeld gevoelige informatie

Low is voor
There is some loss of confidentiality. Access to some restricted information is obtained, but the attacker does not have control over what information is obtained, or the amount or kind of loss is constrained. The information disclosure does not cause a direct, serious loss to the impacted component.
High is voor
There is total loss of confidentiality, resulting in all resources within the impacted component being divulged to the attacker. Alternatively, access to only some restricted information is obtained, but the disclosed information presents a direct, serious impact.
Het lek geeft blijkens de omschrijving toegang tot alle ingevulde form-data en daarmee all resources van de vulnerable component (form-data opslag component van jetpack) availble to the attacker
Stroopwafels @aikebah15 oktober 2024 21:39
Vrijwel alle WordPress gerelateerde vulnerability databases hebben het op L staan, zie:

WPScan (eigenaar is Automattic, ook eigenaar van Jetpack die dus deze kwetsbaarheid had gevonden):
https://wpscan.com/vulner...6-4896-bdcb-5c6a57c99bd9/

WordFence:
https://www.wordfence.com...ve-information-disclosure

Patchstack:
https://patchstack.com/da...back-access-vulnerability

[Reactie gewijzigd door Stroopwafels op 15 oktober 2024 21:39]

aikebah @Stroopwafels15 oktober 2024 21:55
Jetpack team zelf denkt er waarschijnlijk anders over, anders hadden vast ze niet gerept over een critical security fix, maar slechts een important security fix. (al vind ik het ook bij de 5.7 waar ik op uit zou komen nog overtrokken om het critical te noemen)

Ik kwam op basis van de gerapporteerde informatie uit op
https://nvd.nist.gov/vuln...C:H/MI:N/MA:N&version=3.1

base score 5.7 en een overall score van 3.8 voor sites met alleen ongevoelige formulieren
Stroopwafels @aikebah16 oktober 2024 09:31
Maar WPScan en Jetpack hebben dezelfde eigenaar (Automattic) en WPScan heeft dus hun eigen kwetsbaarheid een 4.3 gegeven terwijl ze wel ondertussen "kritiek" zeggen. Beetje tegenstrijdig dan.
wooha 15 oktober 2024 14:33
Misschien tijd voor een Secure Jetpack fork. 😉
Zeurkool 15 oktober 2024 15:27
Er gaat nog veel meer fout met deze plugin. Als je het reactieformulier op je eigen gehoste blog gebruikt, blijft deze laden. Ik heb er nog geen oplossing voor gevonden maar meer sites hebben er last van.
0b1 15 oktober 2024 19:20
Na 20 jaar wordpress, ja ik was er van het begin bij. Het project heb ik volledig opgegeven. Het is een zootje geworden. Plugins of extensions zijn bij momenten rampzalig. De hele code erachter ook gewoon bij momenten echt slecht. En dan krijg je het gevecht met bugs en security dan is de kous af voor mij. Ik ben dan begonnen met mijn eigen CMS te maken en minimale code.
Baracuda89 @0b116 oktober 2024 06:42
Ben het met je eens. Ik heb daarom 5 jaar geleden ook een eigen cms gemaakt. Waar de klant zelf makkelijk van alles kan aanpassen of aanmaken en waar ik ( of een ander met front end kennis) makkelijk de website kan stylen met een realtime scss editor. Ik moet zeggen dit bevalt mij veel beter dan WordPress en het overgrote deel van mijn klanten zijn er ook erg over te spreken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq