近日，一则消息在网络安全界引起了震动：WordPress 的热门插件 Jetpack 被发现存在一个关键漏洞，影响大约2700万个网站。该漏洞自2016年发布的3.9.9版本以来一直存在，允许任何已登录用户查看同一网站上其他用户提交的表单。如果被利用，此漏洞可能导致严重的数据泄露，并破坏用户在受影响网站上的互动完整性。

Jetpack 插件由 WordPress.com 背后的公司 Automattic 开发，提供了一整套旨在增强网站安全性、性能和流量增长的工具。由于该插件在数百万个 WordPress 网站上的广泛使用，这一漏洞尤其令人担忧。漏洞存在于联系人表单功能中，这是许多网站上用户互动的常见组件。

据 Jetpack 工程师 Jeremy Herve 所述，该漏洞可被任何已登录用户利用，以读取网站上访客提交的表单。这意味着即便是低权限的用户，如订阅者，也可能访问通过联系人表单提交的敏感信息，包括个人数据、查询，甚至在某些情况下的支付信息。

Jetpack 插件的维护者已经发布了安全更新来解决这一关键问题。该更新影响了 Jetpack 的101个不同版本，并旨在自动将安装插件更新到安全版本。然而，由于该插件的广泛使用以及缺乏证据表明漏洞已在野外被利用，潜在的风险仍然很高。

“我们没有证据表明此漏洞已被野外利用。然而，现在更新已发布，可能会有人试图利用它。”Herve 在声明中表示。此情况强调了网站管理员尽快应用更新以降低风险的紧迫性。

这并不是 Jetpack 第一次面临这样的关键漏洞。2023年6月，该插件就曾因自2012年11月以来存在的另一关键漏洞而被修补。此类漏洞的反复出现引发了对开发团队安全实践的质疑，表明需要进行更严格的内部审计。

此事发生之际，WordPress 创始人 Matt Mullenweg 与托管服务商 WP Engine 之间正发生争议，WordPress.org 已接管后者的 Advanced Custom Fields (ACF) 插件，并创建了一个名为 Secure Custom Fields 的分支。这一举动凸显了对插件安全性日益增加的关注，以及平台所有者为保护用户安全而单方面采取行动的潜力。

“SCF 已更新，以去除商业推广并修复一个安全问题。”Mullenweg 表示，“这次更新尽可能小以解决安全问题。”不过，安全问题的具体性质未被披露，这增加了围绕插件漏洞的不确定性。

Jetpack 漏洞警示了定期安全审计和及时更新插件和主题的重要性。网站管理员被敦促立即将他们的 Jetpack 插件更新到最新版本，以防止潜在的利用。网络安全界也在呼吁插件开发商采取更严格的安全措施和提高透明度，以防止此类漏洞的再次发生。

总之，Jetpack 插件这一关键漏洞的发现凸显了在为 WordPress 网站维护强大的网络安全方面的持续挑战。潜在的广泛利用危险突显了开发者和网站管理员在实践中优先考虑安全的重要性。随着网络安全形势的不断变化，保持警惕和积极应对漏洞对保护数字资产和用户数据至关重要。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！