Uma vulnerabilidade crítica foi descoberta no plugin Really Simple Security (anteriormente conhecido como Really Simple SSL), utilizado por mais de quatro milhões de sites WordPress. Essa falha, identificada como CVE-2024-10924, permite que invasores obtenham acesso administrativo total aos sites afetados.
O que é o Really Simple Security?
Really Simple Security é um plugin popular entre administradores WordPress por suas ferramentas de segurança, como configuração SSL, autenticação de dois fatores (2FA) e proteção contra vulnerabilidades em tempo real. Suas versões gratuita e Pro são amplamente utilizadas por sites em todo o mundo.
O problema identificado
A falha foi divulgada pela equipe do Wordfence, que classificou o problema como uma das vulnerabilidades mais graves em 12 anos de atuação.
A brecha está na função check_login_and_get_user() do plugin, usada para autenticar usuários. O erro ocorre porque, quando o parâmetro login_nonce é inválido, o sistema não bloqueia o acesso. Em vez disso, autentica o usuário com base apenas no parâmetro user_id, permitindo que qualquer conta, incluindo as de administrador, seja acessada sem credenciais válidas.
Esse problema se manifesta principalmente quando o 2FA está habilitado, embora ele venha desativado por padrão.
Quais versões estão em risco?
As versões vulneráveis incluem todas as edições (gratuita, Pro e Pro Multisite) entre 9.0.0 e 9.1.1.1.
Notícias Relacionadas
Segurança digital
NSO Group continuou explorando falhas no WhatsApp após processo da Meta
O NSO Group usou exploits no WhatsApp para instalar o spyware Pegasus mesmo após ser processada pela Meta, revelam novos documentos.
Segurança cibernética
CISA destaca falhas críticas no Palo Alto Expedition em novo alerta
CISA inclui vulnerabilidades críticas do Palo Alto Networks Expedition em seu catálogo de vulnerabilidades exploradas, destacando falhas como injeção de comandos e SQL, com potencial de comprometimento de firewalls PAN-OS.
Medidas de correção
O desenvolvedor do plugin lançou a versão 9.1.2, que corrige a falha ao garantir que o código encerre a função ao detectar erros no login_nonce.
- Para usuários gratuitos, a atualização foi disponibilizada em 14 de novembro de 2024.
- Para usuários Pro, a correção chegou em 12 de novembro de 2024.
O WordPress.org também implementou atualizações de segurança forçadas para minimizar os danos, mas é fundamental que administradores verifiquem se estão utilizando a versão mais recente.
Riscos e recomendações
Estatísticas mostram que até 3,5 milhões de sites ainda podem estar vulneráveis devido à falha. Além disso, usuários da versão Pro cujas licenças expiraram precisam atualizar manualmente o plugin.
Para proteger seu site:
- Atualize imediatamente para a versão 9.1.2 ou superior.
- Ative notificações de atualizações automáticas.
- Faça verificações regulares para identificar vulnerabilidades.
