Wordpress Jetpack ha una vulnerabilità che permette l'invio di spam

Ieri, dopo l’aumento dei prezzi che Mailgun effettuerà a fine maggio, ho migrato la gestione email del sito più grosso su Sendgrid. Dopo poche ore averlo configurato, torno sulla dashboard si sendgrid e vedo:

Reputazione: 75%

Huh? Ancora ho mandato pochissime email, com’è possibile? Vado a vedere i log e noto che ci sono spambot che abusano la funzionalità “condividi articolo via email” di Jetpack, su Wordpress!

In pratica, il plugin permette la condivisione dell’articolo via email, con un form fatto così:

Promozione San Valentino

ci sono tre caselle di testo, “tuo nome”, “email” e “email di amico”. Le email vengono inviate con il modello:

TUONOME (EMAIL) ti ha inviato questo articolo

il problema è che la casella di testo “tuo nome” accetta QUALSIASI CARATTERE!!! Quindi, gli spammer che fanno, inseriscono il loro messaggio, ci mettono un centinaio di “a capo”, e così inviano spam utilizzando i vostri server!

Per esempio lo spambot ha inserito come “suo nome”:

restrained dating.=0D=0ADating for vip persons. Webcam chat.=0D=0Ahttps:=
//phishing.link=0D=0A=0D=0A=0D=0A=0D=0A=
=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=
=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=
=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=
=0D=0A=0D=0A=0D=0A=0D=0A

0x0D 0x0A sarebbe un carattere di messa a capo.

È già stato aperto un bug report, ma non mi sembra che sia stato preso sul serio…