Исследователи компании Sucuri заявили о серьезной уязвимости популярного модуля Jetpack, предлагающего владельцам сайтов на WordPress бесплатную оптимизацию, защиту и администрирование. Плагин установили более чем на 1 млн сайтов, и теперь их работа может оказаться частично или полностью нарушенной.

Баг получил название cross-site scripting и присутствует абсолютно во всех версиях Jetpack. Проблема в модуле, позволяющем внедрять в контент сайта твиты, видео, документы и другие вещи. Хакеры могут атаковать его, добавив в комментах код на javascript и воровать куки, используемые для определения, в том числе сессий под админом, перенаправления посетителей и SEO-спама.