Gravedad: Alta
Fecha de publicación: 18 de noviembre de 2024
Sistemas afectados: Sitios web de WordPress que utilizan el complemento Really Simple Security (anteriormente Really Simple SSL) en versiones de la 9.0.0 a la 9.1.1.1.
Descripción:
Una vulnerabilidad de elusión de autenticación, identificada como CVE-2024-10924 (puntuación CVSS: 9,8), fue descubierta en el popular plugin Really Simple Security. Este problema permite que un atacante obtenga acceso administrativo completo de manera remota, sin necesidad de autenticarse, cuando la autenticación de dos factores está habilitada. La vulnerabilidad surge debido a un fallo en la función “check_login_and_get_user”, que maneja incorrectamente los errores de verificación de usuario. Este plugin está instalado en más de 4 millones de sitios de WordPress.
Impacto:
Si se explota con éxito, la vulnerabilidad permite que atacantes no autenticados inicien sesión como administradores, secuestrando el sitio web y permitiendo su uso para actividades maliciosas. Debido a la naturaleza programable de este ataque, los sitios de WordPress que utilizan este complemento corren un riesgo elevado.
Referencias a soluciones:
El problema fue solucionado en la versión 9.1.2 del plugin, publicada el 13 de noviembre de 2024. Se recomienda actualizar inmediatamente el complemento a esta versión o posteriores. WordPress ha implementado una actualización automática para forzar la corrección en los sitios que usan el plugin.
Fuentes:
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124