Uma vulnerabilidade crítica foi descoberta no plugin Really Simple Security (anteriormente conhecido como Really Simple SSL), utilizado por mais de quatro milhões de sites WordPress. Essa falha, identificada como CVE-2024-10924, permite que invasores obtenham acesso administrativo total aos sites afetados.
O que é o Really Simple Security?
Really Simple Security é um plugin popular entre administradores WordPress por suas ferramentas de segurança, como configuração SSL, autenticação de dois fatores (2FA) e proteção contra vulnerabilidades em tempo real. Suas versões gratuita e Pro são amplamente utilizadas por sites em todo o mundo.
O problema identificado
A falha foi divulgada pela equipe do Wordfence, que classificou o problema como uma das vulnerabilidades mais graves em 12 anos de atuação.
A brecha está na função check_login_and_get_user() do plugin, usada para autenticar usuários. O erro ocorre porque, quando o parâmetro login_nonce é inválido, o sistema não bloqueia o acesso. Em vez disso, autentica o usuário com base apenas no parâmetro user_id, permitindo que qualquer conta, incluindo as de administrador, seja acessada sem credenciais válidas.
Esse problema se manifesta principalmente quando o 2FA está habilitado, embora ele venha desativado por padrão.
Quais versões estão em risco?
As versões vulneráveis incluem todas as edições (gratuita, Pro e Pro Multisite) entre 9.0.0 e 9.1.1.1.
Notícias Relacionadas
Medidas de correção
O desenvolvedor do plugin lançou a versão 9.1.2, que corrige a falha ao garantir que o código encerre a função ao detectar erros no login_nonce.
- Para usuários gratuitos, a atualização foi disponibilizada em 14 de novembro de 2024.
- Para usuários Pro, a correção chegou em 12 de novembro de 2024.
O WordPress.org também implementou atualizações de segurança forçadas para minimizar os danos, mas é fundamental que administradores verifiquem se estão utilizando a versão mais recente.
Riscos e recomendações
Estatísticas mostram que até 3,5 milhões de sites ainda podem estar vulneráveis devido à falha. Além disso, usuários da versão Pro cujas licenças expiraram precisam atualizar manualmente o plugin.
Para proteger seu site:
- Atualize imediatamente para a versão 9.1.2 ou superior.
- Ative notificações de atualizações automáticas.
- Faça verificações regulares para identificar vulnerabilidades.
