Беше открита критична уязвимост за заобикаляне на удостоверяването, засягаща плъгина на WordPress „Really Simple Security“ (наричан преди „Really Simple SSL“), както за безплатни, така и за Pro версии.
Really Simple Security е плъгин за сигурност за платформата WordPress, предлагащ SSL конфигурация, защита при влизане, двуфакторна автентикация и откриване на уязвимости в реално време. Уязвимостта позволява на нападатели да получат пълен администраторски достъп до засегнатите сайтове и може да бъде експлоатиран масово с помощта на автоматизирани скриптове, което да доведе до мащабни кампании за превземане на уебсайтове.
Въпросният критичен недостатък е CVE-2024-10924. Неправилното обработване на потребителското удостоверяване в двуфакторните REST API на плъгина позволява неоторизиран достъп до всеки потребителски акаунт, включително до администраторския. По-конкретно, проблемът се крие във функцията ‘check_login_and_get_user()’, която проверява самоличността на потребителите чрез проверка на параметрите ‘user_id’ и ‘login_nonce’. Когато ‘login_nonce’ е невалиден, заявката не се отхвърля, както би трябвало, а вместо това извиква ‘authenticate_and_redirect(),’ който удостоверява потребителя само въз основа на ‘user_id’, което води до заобикаляне на удостоверяването.
Уязвимостта може да бъде използвана, когато е активирано двуфакторно удостоверяване (2FA) и въпреки че то е деактивирано по подразбиране, много администратори биха го разрешили за по-силна защита на акаунта.
CVE-2024-10924 засяга версиите на плъгини от 9.0.0 и до 9.1.1.1 на „безплатните“, „Pro“ и „Pro Multisite“ версиите.
Поправките са приложени към версия 9.1.2 на плъгина, пусната на 12 ноември за Pro версията и на 14 ноември за безплатните версии.
Потребителите на Pro версията имат деактивирани автоматични актуализации, когато лицензът изтече, така че те трябва ръчно да актуализират до версия 9.1.2.