Критична вразливість у Really Simple Security створює загрозу для 4 мільйонів WordPress-сайтів

Photo of author

CyberSecureFox Editorial Team

Фахівці з кібербезпеки компанії Defiant виявили критичну вразливість у популярному WordPress-плагіні Really Simple Security (раніше відомому як Really Simple SSL). Ця вразливість становить серйозну загрозу для приблизно 4 мільйонів веб-сайтів та визнана однією з найнебезпечніших за останнє десятиліття у екосистемі WordPress.

Технічний аналіз вразливості

Виявленій вразливості присвоєно ідентифікатор CVE-2024-10924 та критичний рівень загрози 9,8 за шкалою CVSS. Проблема зачіпає версії Really Simple Security від 9.0.0 до 9.1.1.1, включаючи як безкоштовну версію, так і варіанти Pro та Pro Multisite. Особливу небезпеку становить можливість повного обходу системи аутентифікації, що дозволяє зловмисникам отримати несанкціонований доступ з правами будь-якого користувача системи.

Механізм експлуатації та технічні деталі

Вразливість виникає через недоліки в реалізації механізму аутентифікації користувачів та небезпечну роботу з REST API. Критичним фактором є те, що функція check_login_and_get_user() виконує перевірку користувачів на основі параметрів user_id та login_nonce, але при недійсному login_nonce система не блокує запит, а передає керування функції authenticate_and_redirect(), яка проводить аутентифікацію виключно за параметром user_id.

Масштаб загрози та заходи протидії

За актуальними даними, близько 3,5 мільйона веб-сайтів залишаються потенційно вразливими до атак. Розробники Really Simple Security у співпраці з командою WordPress.org оперативно відреагували на загрозу, випустивши примусове оновлення плагіна до версії 9.1.2. Патчі були випущені 12 листопада для безкоштовної версії та 14 листопада для Pro версії.

Враховуючи критичність вразливості та простоту її експлуатації, адміністраторам веб-ресурсів наполегливо рекомендується негайно оновити Really Simple Security до версії 9.1.2. Затримка з встановленням оновлення може призвести до компрометації сайту та втрати конфіденційних даних. Додатково рекомендується провести аудит системних журналів на предмет можливих спроб несанкціонованого доступу та посилити моніторинг активності користувачів.

Photo of author

CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

CyberSecureFox

© 2026 INFO

Про сайт

Про нас

Автори

Контакти

Редакція

Редакційні стандарти

Виправлення

Правова інформація

Політика конфіденційності

Умови використання