Vulnerabilidades

Falha grave em plugin popular do WordPress expõe milhões de sites

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...
Follow:
Imagem com a logomarca do WordPress

Uma vulnerabilidade crítica foi descoberta no plugin Really Simple Security (anteriormente conhecido como Really Simple SSL), utilizado por mais de quatro milhões de sites WordPress. Essa falha, identificada como CVE-2024-10924, permite que invasores obtenham acesso administrativo total aos sites afetados.

Conteúdo

O que é o Really Simple Security?

Imagem com a logomarca do WordPress com fundo vermelho

Really Simple Security é um plugin popular entre administradores WordPress por suas ferramentas de segurança, como configuração SSL, autenticação de dois fatores (2FA) e proteção contra vulnerabilidades em tempo real. Suas versões gratuita e Pro são amplamente utilizadas por sites em todo o mundo.

O problema identificado

A falha foi divulgada pela equipe do Wordfence, que classificou o problema como uma das vulnerabilidades mais graves em 12 anos de atuação.

A brecha está na função check_login_and_get_user() do plugin, usada para autenticar usuários. O erro ocorre porque, quando o parâmetro login_nonce é inválido, o sistema não bloqueia o acesso. Em vez disso, autentica o usuário com base apenas no parâmetro user_id, permitindo que qualquer conta, incluindo as de administrador, seja acessada sem credenciais válidas.

Esse problema se manifesta principalmente quando o 2FA está habilitado, embora ele venha desativado por padrão.

Quais versões estão em risco?

As versões vulneráveis incluem todas as edições (gratuita, Pro e Pro Multisite) entre 9.0.0 e 9.1.1.1.

Medidas de correção

O desenvolvedor do plugin lançou a versão 9.1.2, que corrige a falha ao garantir que o código encerre a função ao detectar erros no login_nonce.

  • Para usuários gratuitos, a atualização foi disponibilizada em 14 de novembro de 2024.
  • Para usuários Pro, a correção chegou em 12 de novembro de 2024.

O WordPress.org também implementou atualizações de segurança forçadas para minimizar os danos, mas é fundamental que administradores verifiquem se estão utilizando a versão mais recente.

Riscos e recomendações

Estatísticas mostram que até 3,5 milhões de sites ainda podem estar vulneráveis devido à falha. Além disso, usuários da versão Pro cujas licenças expiraram precisam atualizar manualmente o plugin.

Para proteger seu site:

  1. Atualize imediatamente para a versão 9.1.2 ou superior.
  2. Ative notificações de atualizações automáticas.
  3. Faça verificações regulares para identificar vulnerabilidades.
TAGGED:
Compartilhe este artigo
Artigo anterior Imagem de logomarca do YouTube YouTube lança recurso inspirado no Twitch para monetizar transmissões ao vivo verticais
Próximo artigo Imagem com anzol simulando o Phishing Como o uso de arquivos SVG em e-mails de phishing cresce para burlar detecções
Free Software Foundation

Uma nova logo para os 40 anos da Free Software Foundation

gmSyG2GC logo nova free software foundation png

Descubra a nova logo e a história da Free Software Foundation.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto