Kritična sigurnosna greška u jednom od najpopularnijih dodataka WordPress-a ostavila je preko 4 miliona web stranica ranjivim na potencijalne pokušaje hakovanja.
Dodatak Really Simple Security, ranije poznat kao Really Simple SSL, sadrži ranjivost zaobilaženja autentikacije koja bi mogla omogućiti napadačima da dobiju puni administrativni pristup pogođenim lokacijama.
Ranjivost, koju je otkrio Wordfence Threat Intelligence tim 6. novembra 2024., utiče na verzije od 9.0.0 do 9.1.1.1 dodatka Really Simple Security, uključujući njegove besplatne, profesionalne i profesionalne verzije na više lokacija.
Greška je praćena kao “CVE-2024-10924”, koja je dobila kritični CVSS rezultat od “9,8”. Sigurnosni problem proizlazi iz nepravilnog rukovanja greškama u funkciji dvofaktorske provjere autentičnosti dodatka.
Sigurnosni analitičari u Wordfence-u su identifikovali da, kada je omogućena, ova ranjivost omogućava neautorizovnim napadačima da zaobiđu autentifikaciju i prijave se kao bilo koji postojeći korisnik na stranici, uključujući administratore. To bi potencijalno moglo dovesti do potpunog ugrožavanja lokacije i dalje infekcije.
Tehnička analiza
Really Simple Plugins, programer zahvaćenog dodatka, obaviješten je 6. novembra i brzo je odgovorio. Objavili su zakrpe za pro verzije 12. novembra i za besplatnu verziju 14. novembra.
Zbog ozbiljnosti ranjivosti, tim dodataka WordPress[.]orga pokrenuo je prisilno sigurnosno ažuriranje na verziju 9.1.2 za sve pogođene instalacije.
Iako je većina web lokacija trebala biti automatski ažurirana, vlasnicima web lokacija preporučujemo da provjere da li su njihove instalacije zakrpljene na verziju 9.1.2 ili noviju.
.webp)
Za korisnike profesionalnih verzija je posebno važno da osiguraju da su njihove stranice ažurirane, jer automatska ažuriranja možda neće funkcionisati za web lokacije bez važeće licence.
Stručnjaci za sigurnost naglašavaju važnost ažuriranja dodataka i redovnog provjeravanja poznatih ranjivosti .
Administratori web stranica se ohrabruju da koriste renomirane sigurnosne dodatke , održavaju sve softverske komponente ažurnim i odmah onemogućuju ili uklanjaju dodatke s poznatim sigurnosnim problemima.
Ovaj incident služi kao oštar podsjetnik na tekuće sigurnosne izazove u WordPress ekosistemu. On naglašava kritičnu potrebu za oprezom, redovnim ažuriranjima i robusnim sigurnosnim praksama za zaštitu web stranica od potencijalnih prijetnji.
Izvor: CyberSecurityNews
