Фахівці з кібербезпеки компанії Defiant виявили критичну вразливість у популярному WordPress-плагіні Really Simple Security (раніше відомому як Really Simple SSL). Ця вразливість становить серйозну загрозу для приблизно 4 мільйонів веб-сайтів та визнана однією з найнебезпечніших за останнє десятиліття у екосистемі WordPress.
Технічний аналіз вразливості
Виявленій вразливості присвоєно ідентифікатор CVE-2024-10924 та критичний рівень загрози 9,8 за шкалою CVSS. Проблема зачіпає версії Really Simple Security від 9.0.0 до 9.1.1.1, включаючи як безкоштовну версію, так і варіанти Pro та Pro Multisite. Особливу небезпеку становить можливість повного обходу системи аутентифікації, що дозволяє зловмисникам отримати несанкціонований доступ з правами будь-якого користувача системи.
Механізм експлуатації та технічні деталі
Вразливість виникає через недоліки в реалізації механізму аутентифікації користувачів та небезпечну роботу з REST API. Критичним фактором є те, що функція check_login_and_get_user() виконує перевірку користувачів на основі параметрів user_id та login_nonce, але при недійсному login_nonce система не блокує запит, а передає керування функції authenticate_and_redirect(), яка проводить аутентифікацію виключно за параметром user_id.
Масштаб загрози та заходи протидії
За актуальними даними, близько 3,5 мільйона веб-сайтів залишаються потенційно вразливими до атак. Розробники Really Simple Security у співпраці з командою WordPress.org оперативно відреагували на загрозу, випустивши примусове оновлення плагіна до версії 9.1.2. Патчі були випущені 12 листопада для безкоштовної версії та 14 листопада для Pro версії.
Враховуючи критичність вразливості та простоту її експлуатації, адміністраторам веб-ресурсів наполегливо рекомендується негайно оновити Really Simple Security до версії 9.1.2. Затримка з встановленням оновлення може призвести до компрометації сайту та втрати конфіденційних даних. Додатково рекомендується провести аудит системних журналів на предмет можливих спроб несанкціонованого доступу та посилити моніторинг активності користувачів.
