WordPress 安全公司 Defiant 发布警告称,知名插件 Really Simple Security 中存在一个严重的身份验证绕过漏洞(CVE-2024-10924),影响超过四百万个 WordPress 网站。这一漏洞的 CVSS 评分高达 9.8,表明其潜在威胁极高。攻击者可借此漏洞未经授权以管理员身份登录网站,直接接管网站控制权。
漏洞概述
CVE-2024-10924:身份验证绕过漏洞
- 漏洞来源:Really Simple Security 插件的双因素身份验证 (2FA) 功能的 REST API 操作存在错误处理。
- 风险描述:由于用户验证失败时未正确处理返回错误,攻击者可以绕过身份验证并访问任何用户账户(包括管理员账户)。
- 受影响范围:所有启用了该插件并使用漏洞版本的 WordPress 网站。
Defiant 表示,问题根源在于插件 2FA 功能的设计缺陷。攻击者可以通过提交用户 ID 绕过验证逻辑,即便未通过身份验证,也可直接登录目标账户。
插件功能及影响
Really Simple Security 插件(曾名 Really Simple SSL)为 WordPress 网站管理员提供了多种安全功能,包括:
- 双因素身份验证 (2FA)
- 登录保护
- 漏洞检测
由于其广泛使用,该插件的漏洞可能导致大规模网站被攻击。攻击者不仅可以接管高权限账户,还可能进一步滥用这些被入侵网站,用于传播恶意软件、网络钓鱼或其他攻击活动。
修复进展与更新
Defiant 已于 2024 年 11 月 6 日 向插件开发团队报告了该漏洞,并在随后几天内推出了修复补丁:
- Pro 版本补丁:于 11 月 12 日 发布。
- Free 版本补丁:于 11 月 14 日 发布。
WordPress 官方响应:
WordPress 团队联合插件维护人员,强制推送了修复版本 9.1.2 的安全更新,以防止漏洞进一步扩大影响。
受影响用户的建议
为了避免受到此漏洞的攻击,网站管理员应立即采取以下措施:
- 检查插件版本:确认运行的 Really Simple Security 插件是否为 9.1.2 或更高版本。
- 及时更新插件:若仍在使用旧版本,立即更新至修补版本。
- 监控网站安全:密切留意异常登录、账户访问及其他可疑活动。
- 启用额外的安全措施:为网站添加额外的访问控制机制,如限制 IP 地址或启用 Web 应用防火墙 (WAF)。
