严重的身份验证绕过漏洞影响 400 万个网站

原创 很近也很远 网络研究观 2024-11-17 15:43

Wordfence 披露了 Really Simple Security 插件中一个高度危险的漏洞，该漏洞影响了超过 400 万个 WordPress 网站。

该漏洞的 CVSS 评分为 9.8（严重），允许攻击者绕过身份验证并获得对受影响网站的管理控制权。

该插件的免费版和付费版（以前称为 Really Simple SSL）均受到影响。

接管管理员账户

Really Simple Security 是一款广泛使用的插件，旨在通过漏洞检测、登录保护和双因素身份验证等功能增强 WordPress 站点的安全性。

然而，用于 REST API 身份验证的 check_login_and_get_user 函数中存在一个缺陷，未能正确验证用户身份。

这一疏忽使未经授权的攻击者得以绕过安全措施并获得管理访问权限。

该漏洞影响免费版、专业版和专业多站点版本的插件版本 9.0.0 至 9.1.1.1。

发现和补丁时间表

该漏洞是由 Wordfence 的威胁情报团队（特别是研究员 István Márton）于 2024 年 11 月 6 日在例行分析中发现的。

“这是我们作为 WordPress 安全提供商 12 年历史上报告过的更严重的漏洞之一，”研究人员在其文章中警告说。

https://www.wordfence.com/blog/2024/11/really-simple-security-vulnerability/

问题源于插件的双因素身份验证功能中错误处理不当。

利用此漏洞，如果启用了双因素身份验证，攻击者可以远程以任何用户（包括管理员）身份登录。

此功能默认为禁用，但许多用户出于安全原因将其激活，在这种情况下，效果正好相反。

立即联系了 Really Simple Plugins 团队，并于 11 月 12 日向专业用户发布了修补版本 9.1.2，并于 11 月 14 日发布了免费版本。

为了降低风险，WordPress 对受影响的插件版本启动了强制更新，这一罕见举措凸显了漏洞的严重性。

建议没有有效插件许可证的站点管理员手动验证其更新状态，因为自动更新可能无法适用于这些安装。

为了防范这一严重漏洞，网站管理员应通过 WordPress 管理仪表板验证强制更新是否成功，并且他们使用的是 9.1.2 版本。

如果无法更新，建议暂时禁用双因素身份验证，直到应用补丁为止。

对于托管服务提供商，建议强制更新并扫描托管环境以查找易受攻击的版本。

鼓励网站所有者在 WordPress 社区内传播意识，以确保未维护的网站及时收到更新。