WordPress 插件 “Really Simple Security”（此前被称为 “Really Simple SSL”）的免费和专业版本均受一个严重的认证绕过漏洞影响。

Really Simple Security 是 WordPress 平台的一个安全插件，提供SSL配置、登录暴露、双因素认证层以及实时漏洞检测服务。其免费版本已用于超过400多万个网站上。

Wordfence 公司公开披露了该漏洞，称其为12年来报送的最严重的漏洞，并提醒称该漏洞可导致远程攻击者获得对受影响网站的完整管理员访问权限。更糟糕的是，可通过自动化脚本大规模利用该漏洞，从而可能导致大规模网站遭接管后果。

而这也是Wordfence 提醒托管提供商更新客户网站上的插件并扫描数据库以确保未运行易受攻击版本的原因所在。

2FA导致更脆弱的安全性

该漏洞的编号是CVE-2024-10924，是由 Wordfence 公司的研究员 István Márton 在2024年11月6日发现的。该漏洞由该插件的双因素REST API 操作中的用户认证处理不当造成的，可导致任何用户账户包括管理员在内的账户遭越权访问。

具体而言，漏洞位于 “check_login_and_get_user()”函数中。该函数通过检查 “user_id”和 “login_nonce” 参数对用户身份进行验证。当 “login_nonce” 不合法时，该请求本应但并未遭到拒绝，而是调用“authenticate_and_redirect()” 只基于 “user_id” 对用户进行认证，从而导致认证绕过后沟。

当双因素认证启用时，该漏洞可遭利用，而且即使默认是禁用状态，很多管理员将允许启用以便获得更强的账户安全性。该漏洞影响Really Simple Security 9.0.0至9.1.1.1的免费、专业以及多网站专业 (Pro Multisite) 版本。

目前，开发人员已经正确处理 “login_nonce” 验证失败情况，即会立即退出 “check_login_and_get_user()” 函数。该修复方案已经应用到该插件的9.1.2版本，已在11月12日发布在Pro版本以及在11月14日为免费用户发布。厂商与 WordPress.org 协作，强制用户进行安全更新，不过网站管理员仍然应当检查并确保自己运行的是最新版本9.1.2。专业版用户在许可过期时已禁用自动更新功能，因此必须手动更新至9.1.2。

截止到昨天，WordPress.org 数据显示，该插件的免费版本的下载次数约为45万次，即350万个网站易受攻击。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~