Segundo a Wordfence, uma Falha de plugin dá acesso de administrador a sites WordPress. Confira os detalhes dessa ameaça.
Really Simple Security é um plugin de segurança para a plataforma WordPress, oferecendo configuração SSL, proteção de login, uma camada de autenticação de dois fatores e detecção de vulnerabilidade em tempo real. Somente sua versão gratuita é usada em mais de quatro milhões de sites.
Agora, uma vulnerabilidade crítica de bypass de autenticação foi descoberta impactando o plugin WordPress ‘Really Simple Security’ (anteriormente ‘Really Simple SSL’), incluindo versões gratuitas e Pro.
Falha de plugin dá acesso de administrador a sites WordPress
A Wordfence, que divulgou publicamente a falha, a chama de uma das vulnerabilidades mais graves relatadas em seus 12 anos de história, alertando que ela permite que invasores remotos obtenham acesso administrativo total aos sites impactados.
Para piorar a situação, a falha pode ser explorada em massa usando scripts automatizados, potencialmente levando a campanhas de aquisição de sites em larga escala.
Tal é o risco que o Wordfence propõe que os provedores de hospedagem atualizem à força o plugin nos sites dos clientes e escaneiem seus bancos de dados para garantir que ninguém execute uma versão vulnerável.
A falha de gravidade crítica em questão é CVE-2024-10924, descoberta pelo pesquisador do Wordfence István Márton em 6 de novembro de 2024.
Ela é causada pelo tratamento impróprio da autenticação do usuário nas ações da API REST de dois fatores do plugin, permitindo acesso não autorizado a qualquer conta de usuário, incluindo administradores.
Especificamente, o problema está na função ‘check_login_and_get_user()’ que verifica as identidades do usuário verificando os parâmetros ‘user_id’ e ‘login_nonce’.
Quando ‘login_nonce’ é inválido, a solicitação não é rejeitada, como deveria, mas invoca ‘authenticate_and_redirect()’, que autentica o usuário com base apenas no ‘user_id’, permitindo efetivamente o bypass de autenticação.
A falha é explorável quando a autenticação de dois fatores (2FA) está habilitada e, embora esteja desabilitada por padrão, muitos administradores a permitirão para maior segurança da conta.
O CVE-2024-10924 impacta as versões de plugins de 9.0.0 até 9.1.1.1 das versões “grátis”, “Pro” e “Pro Multisite”.
O desenvolvedor corrigiu a falha garantindo que o código agora lida corretamente com falhas de verificação ‘login_nonce’, saindo da função ‘check_login_and_get_user()’ imediatamente.
As correções foram aplicadas à versão 9.1.2 do plugin, lançada em 12 de novembro para a versão Pro e 14 de novembro para usuários gratuitos.
O fornecedor coordenou com o WordPress.org para executar atualizações de segurança forçadas em usuários do plugin, mas os administradores do site ainda precisam verificar e garantir que estão executando a versão mais recente (9.1.2).
Os usuários da versão Pro têm suas atualizações automáticas desabilitadas quando a licença expira, então eles devem atualizar manualmente a 9.1.2.
Até ontem, o site de estatísticas do WordPress.org, que monitora instalações da versão gratuita do plugin, mostrou aproximadamente 450.000 downloads, deixando 3.500.000 sites potencialmente expostos à falha.