La empresa de software que está detrás de la popular plataforma de blogs WordPress está actualizando automáticamente más de cinco millones de instalaciones de su plugin Jetpack después de que se descubriera una vulnerabilidad crítica en él.

Automattic, que también cuenta con Jetpack como una de sus filiales, comenzó ayer la actualización para poner al día a los usuarios con la nueva versión, la 12.1.1.

«Durante una auditoría interna de seguridad, encontramos una vulnerabilidad con la API disponible en Jetpack desde la versión 2.0, lanzada en 2012», explicó el ingeniero de relaciones con desarrolladores de Automattic, Jeremy Herve. «Esta vulnerabilidad podría ser utilizada por los autores de un sitio para manipular cualquier archivo de la instalación de WordPress».

Herve, afirmó que no hay evidencia de que la vulnerabilidad haya sido explotada in the wild.

«Sin embargo, ahora que se ha publicado la actualización, es posible que alguien intente aprovecharse de esta vulnerabilidad», advirtió.

Herve enumeró 102 nuevas versiones de Jetpack publicadas, para corregir el fallo.

Jetpack está diseñado para ofrecer a los usuarios una serie de funciones de seguridad, como copias de seguridad automáticas y restauraciones con un solo clic, un cortafuegos de aplicaciones web, análisis de malware y protección contra ataques de fuerza bruta. Además, permite optimizar y personalizar los sitios web y conocer su rendimiento.

Estas funciones le han valido a Jetpack millones de descargas en todo el mundo.

WordPress y sus plugins siguen siendo uno de los principales objetivos de las amenazas.