4.000.000 Really Simple Security Free és Pro verzióját használó WordPress webhelyt érint egy kritikus hitelesítési megkerülési sebezhetőség
Bevezető megjegyzés: Ez az egyik legsúlyosabb sebezhetőség, amiről a WordPress biztonsági szolgáltatójaként a Wordfence 12 éves története során beszámolt. Ez a biztonsági rés a Really Simple Security-t (korábban Really Simple SSL-ként ismert) érinti, amely több mint 4 millió webhelyre van telepítve, és lehetővé teszi a támadók számára, hogy távolról teljes adminisztrátori hozzáférést kapjanak a beépülő modult futtató webhelyhez.
A sérülékenység szkriptelhető, ami azt jelenti, hogy nagyszabású automatizált támadásokká alakítható, amelyek WordPress webhelyeket céloznak meg. A fejlesztő a WordPress plugins teammel együttműködve a mai napon frissíteni kényszerített minden webhelyet, amely ezt a beépülő modult futtatja.
Segíthet, ha az Ön közösségében a lehető legtöbbek figyelmét felhívja erre a problémára, biztosítva, hogy minden lemaradó és nem karbantartott webhely a javított verzióra frissüljön. Arra bátorítjuk a tárhelyszolgáltatókat, hogy kényszerítsék ki ügyfeleik frissítését, és végezzenek vizsgálatokat tárhely fájlrendszerein, hogy megbizonyosodjanak arról, hogy egyetlen ügyfél sem futtatja a bővítmény javítatlan verzióját.
Fontos megjegyezni, hogy ennek a bővítménynek a Pro verzióit is érinti ez a biztonsági rés, és a prémium verziókat futtató webhelyeknek ellenőrizniük kell, hogy azok automatikusan frissültek-e, ezért kérjük, segítsen a hír elterjesztésében. Úgy tűnik, hogy az érvényes licenccel nem rendelkező webhelyeken nem működik az automatikus frissítés.
A részletek
2024. november 6-án a Wordfence Threat Intelligence csapat azonosította és megkezdte a felelősségteljes nyilvánosságra hozatali folyamatot a Really Simple Security beépülő modulban és a Really Simple Security Pro és Pro Multisite beépülő modulban, amelyek aktívan telepítve vannak több mint 4.000.000 WordPress webhelyre. A biztonsági rés lehetővé teszi, hogy a támadó távolról hozzáférjen a webhely bármely fiókjához, beleértve a rendszergazdai fiókot is, ha a kétfaktoros hitelesítési funkció engedélyezve van.
A Wordfence Premium, a Wordfence Care és a Wordfence Response felhasználói 2024. november 6-án tűzfalszabályt kaptak a biztonsági rést célzó minden kihasználó támadás ellen. A Wordfence ingyenes verzióját használó webhelyek 30 nappal később, 2024. december 6-án megkapják ugyanezt a védelmet.
2024. november 6-án a Wordfence felvette a kapcsolatot a Really Simple Plugins csapatával, és 2024. november 7-én kaptak választ. A teljes nyilvánosságra hozatal után a fejlesztő 2024. november 12-én kiadta a javítást a Pro beépülő modulokhoz, az ingyenes beépülő modulhoz pedig 2024. november 14-én tette meg ugyanazt.
A sérülékenység kritikus súlyossága miatt (CVSS-pontszám: 9,8 kritikus), a beépülő modul gyártója a WordPress.org plugins team-mel együttműködve kényszerített biztonsági frissítést küld a javított, 9.1.2-es verzióra mindenki számára, aki a beépülő modul sebezhető verzióját használja. Ez azt jelenti, hogy a legtöbb webhely már valószínűleg kijavult, vagy hamarosan kijavítják, azonban arra kérjük a felhasználókat, hogy ellenőrizzék, hogy webhelyeiket a cikk írásakor frissítették-e a Really Simple Security legújabb javított verziójára, a 9.1.2-es verzióra, amennyiben a bővítmény 9.0.0 vagy újabb verzióját futtatják. A WordPress.org fórumon a bővítményhez tartozó szál azt jelzi, hogy a kényszerű frissítések ma reggel kezdődtek, és a következő napokban folytatódhatnak.
A Wordfence Intelligence biztonsági résének összefoglalása
Leírás: Really Simple Security (ingyenes, Pro és Pro multisite) 9.0.0 – 9.1.1.1 – Hitelesítés megkerülése
Érintett beépülő modulok: Really Simple Security, Really Simple Security Pro, Really Simple Security Pro multisite
Plugin Slugs: really-simple-ssl, really-simple-ssl-pro, really-simple-ssl-pro-multisite
Érintett verziók: 9.0.0 – 9.1.1.1
CVE-azonosító: CVE-2024-10924
CVSS-pontszám: 9,8 (kritikus)
CVSS vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Kutató/k: Márton István (Wordfence)
Teljesen javított verzió: 9.1.2