Специалисты компании Defiant обнаружили критическую уязвимость в популярном WordPress-плагине Really Simple Security (ранее известном как Really Simple SSL), которая может привести к компрометации около 4 миллионов веб-сайтов. Эксперты характеризуют данную проблему как одну из наиболее серьезных за последние 12 лет своей практики.
Детали уязвимости и механизм эксплуатации
Уязвимости присвоен идентификатор CVE-2024-10924 с критическим уровнем опасности 9,8 по шкале CVSS. Проблема затрагивает версии Really Simple Security от 9.0.0 до 9.1.1.1, включая как бесплатную версию, так и версии Pro и Pro Multisite. Суть уязвимости заключается в возможности обхода системы аутентификации, что позволяет злоумышленнику получить несанкционированный доступ к сайту с правами любого пользователя, включая администратора.
Технические аспекты уязвимости
Уязвимость возникает из-за некорректной реализации механизма аутентификации пользователей и небезопасной работы с REST API. Особенно критична ситуация для сайтов с включенной двухфакторной аутентификацией (2FA). Технический анализ показал, что функция check_login_and_get_user() проверяет пользователей по параметрам user_id и login_nonce, однако при недействительном login_nonce система не отклоняет запрос, а передает управление функции authenticate_and_redirect(), которая проводит аутентификацию только на основе user_id.
Масштаб проблемы и меры противодействия
По официальной статистике, около 3,5 миллиона сайтов остаются потенциально уязвимыми для атак. В ответ на выявленную угрозу разработчики Really Simple Security совместно с командой WordPress.org инициировали принудительное обновление плагина до версии 9.1.2. Исправления были выпущены 12 и 14 ноября для бесплатной и Pro версий соответственно.
Администраторам сайтов, использующих Really Simple Security, настоятельно рекомендуется проверить текущую версию плагина и убедиться в установке последнего безопасного обновления 9.1.2. Учитывая критичность уязвимости и простоту её эксплуатации, промедление с обновлением может привести к серьезным последствиям для безопасности веб-ресурса.
