Falha de plugin dá acesso de administrador a sites WordPress

Segundo a Wordfence, uma Falha de plugin dá acesso de administrador a sites WordPress. Confira os detalhes dessa ameaça.

Really Simple Security é um plugin de segurança para a plataforma WordPress, oferecendo configuração SSL, proteção de login, uma camada de autenticação de dois fatores e detecção de vulnerabilidade em tempo real. Somente sua versão gratuita é usada em mais de quatro milhões de sites.

Agora, uma vulnerabilidade crítica de bypass de autenticação foi descoberta impactando o plugin WordPress ‘Really Simple Security’ (anteriormente ‘Really Simple SSL’), incluindo versões gratuitas e Pro.

Falha de plugin dá acesso de administrador a sites WordPress

Falha de plugin dá acesso de administrador a sites WordPress
Falha de plugin dá acesso de administrador a sites WordPress

A Wordfence, que divulgou publicamente a falha, a chama de uma das vulnerabilidades mais graves relatadas em seus 12 anos de história, alertando que ela permite que invasores remotos obtenham acesso administrativo total aos sites impactados.

Para piorar a situação, a falha pode ser explorada em massa usando scripts automatizados, potencialmente levando a campanhas de aquisição de sites em larga escala.

Tal é o risco que o Wordfence propõe que os provedores de hospedagem atualizem à força o plugin nos sites dos clientes e escaneiem seus bancos de dados para garantir que ninguém execute uma versão vulnerável.

A falha de gravidade crítica em questão é CVE-2024-10924, descoberta pelo pesquisador do Wordfence István Márton em 6 de novembro de 2024.

Ela é causada pelo tratamento impróprio da autenticação do usuário nas ações da API REST de dois fatores do plugin, permitindo acesso não autorizado a qualquer conta de usuário, incluindo administradores.

Especificamente, o problema está na função ‘check_login_and_get_user()’ que verifica as identidades do usuário verificando os parâmetros ‘user_id’ e ‘login_nonce’.

Quando ‘login_nonce’ é inválido, a solicitação não é rejeitada, como deveria, mas invoca ‘authenticate_and_redirect()’, que autentica o usuário com base apenas no ‘user_id’, permitindo efetivamente o bypass de autenticação.

A falha é explorável quando a autenticação de dois fatores (2FA) está habilitada e, embora esteja desabilitada por padrão, muitos administradores a permitirão para maior segurança da conta.

O CVE-2024-10924 impacta as versões de plugins de 9.0.0 até 9.1.1.1 das versões “grátis”, “Pro” e “Pro Multisite”.

O desenvolvedor corrigiu a falha garantindo que o código agora lida corretamente com falhas de verificação ‘login_nonce’, saindo da função ‘check_login_and_get_user()’ imediatamente.

As correções foram aplicadas à versão 9.1.2 do plugin, lançada em 12 de novembro para a versão Pro e 14 de novembro para usuários gratuitos.

O fornecedor coordenou com o WordPress.org para executar atualizações de segurança forçadas em usuários do plugin, mas os administradores do site ainda precisam verificar e garantir que estão executando a versão mais recente (9.1.2).

Os usuários da versão Pro têm suas atualizações automáticas desabilitadas quando a licença expira, então eles devem atualizar manualmente a 9.1.2.

Até ontem, o site de estatísticas do WordPress.org, que monitora instalações da versão gratuita do plugin, mostrou aproximadamente 450.000 downloads, deixando 3.500.000 sites potencialmente expostos à falha.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.