Плагин Really Simple Security для WordPress содержит критическую уязвимость с возможностью компрометации 4 млн сайтов
habr.comИсследователи по ИБ из Defiant обнаружили в плагине Really Simple Security (Really Simple SSL) для WordPress критическую уязвимость CVE-2024-10924 (9,8 балла по шкале CVSS), которая потенциально может привести к компрометации 4 млн сайтов.С помощью плагина Really Simple Security администраторы могут добавлять различные защитные функции, включая настройку SSL, двухфакторную аутентификацию, дополнительную защиту при входе, обнаружение уязвимостей.Используя уязвимость CVE-2024-10924, можно выполнить обход аутентификации, который позволяет неавторизованному злоумышленнику войти в систему под видом любого пользователя сайта, включая администратора.Уязвимость CVE-2024-10924 может быть использована в версиях Really Simple Security от 9.0.0 до 9.1.1.1.
Причём проблеме подвержены как бесплатная версия Really Simple Security, так и платные версии плагина Pro и Pro Multisite.По информации экспертов из Defiant, уязвимость CVE-2024-10924 связана с некорректной обработкой аутентификации пользователей и небезопасной реализации функций, связанных с REST API.
