2024年11月26日,网上更新披露了Really Simple Plugins 多款产品身份认证绕过漏洞(CVE-2024-10924)。
漏洞描述:WordPress的Really Simple Security(免费版、Pro版和Pro Multisite版)插件在9.0.0至9.1.1.1版本中存在认证绕过漏洞。这是因为在启用了“双因素认证”设置(默认情况下是禁用的)时,双因素REST API操作中的'check_login_and_get_user'函数处理用户检查错误不当。这使得未经认证的攻击者可以作为网站上的任何现有用户(例如管理员)登录。
影响范围:
9.0.0 - 9.1.1.1 Really Simple Security < 9.1.2
风险等级:严重
修复方案:
官方已发布安全更新,建议升级至最新版本。
进行安全更新方法:
https://plugins.trac.wordpress.org/browser/really-simple-ssl/tags/9.1.1.1/sec
https://www.wordfence.com/blog/2024/11/really-simple-security-vulnerability/
