Σοβαρή ευπάθεια σε ένα plugin του WordPress, το Really Simple Security, έχει εκθέσει πάνω από 4 εκατομμύρια websites σε hackers.

Η ευπάθεια, που ανακαλύφθηκε από την ομάδα του Wordfence στις 6 Νοεμβρίου 2024, σχετίζεται με την παράκαμψη του ελέγχου ταυτότητας και επηρεάζει τις εκδόσεις 9.0.0 έως 9.1.1.1.
Διαβάστε ακόμη: WordPress: Νέα σοβαρή ευπάθεια στο LiteSpeed Cache plugin
Με την καταχώριση του ελαττώματος ως “CVE-2024-10924” και με κρίσιμη βαθμολογία CVSS 9,8, επιτρέπει σε μη επαληθευμένους χρήστες να αποκτούν πρόσβαση ως διαχειριστές σε επηρεαζόμενους ιστότοπους, θέτοντας σε κίνδυνο πλήρη παραβίαση.
Η αιτία της ευπάθειας οφείλεται σε ακατάλληλο χειρισμό σφαλμάτων στη διαδικασία ελέγχου ταυτότητας δύο παραγόντων. Οι αναλυτές ασφαλείας διαπίστωσαν ότι οι εισβολείς είχαν τη δυνατότητα να παρακάμψουν τη διαδικασία ελέγχου ταυτότητας και να συνδεθούν ως οποιοσδήποτε υπάρχων χρήστης.
Δείτε επίσης: LiteSpeed Cache Ευπάθεια: Σε κίνδυνο 6 εκατ. WordPress sites
Αμέσως μετά την ανακάλυψη, οι προγραμματιστές της Really Simple Plugins ενημερώθηκαν και κυκλοφόρησαν ενημερώσεις για τις επαγγελματικές εκδόσεις στις 12 Νοεμβρίου και για τη δωρεάν έκδοση στις 14 Νοεμβρίου.
Η ομάδα του WordPress.org προχώρησε σε υποχρεωτική ενημέρωση ασφαλείας στην έκδοση 9.1.2 για όλες τις επηρεαζόμενες εγκαταστάσεις. Παρά τις αυτόματες ενημερώσεις, οι διαχειριστές ιστοτόπων καλούνται να επιβεβαιώσουν ότι οι εγκαταστάσεις τους έχουν επιδιορθωθεί. Ιδιαίτερα σημαντικό είναι για τους χρήστες επαγγελματικών εκδόσεων να βεβαιωθούν ότι έχουν ενημερωθεί, καθώς οι αυτόματες ενημερώσεις ενδέχεται να μην είναι διαθέσιμες χωρίς έγκυρη άδεια χρήσης.

Διαβάστε περισσότερα: LiteSpeed Cache WordPress: Νέα ευπάθεια επιτρέπει επιθέσεις XSS
Το περιστατικό αυτό υπογραμμίζει την ανάγκη για τακτικές ενημερώσεις και καλές πρακτικές ασφαλείας στο οικοσύστημα του WordPress, προκειμένου να διασφαλιστεί η προστασία των ιστότοπων από πιθανές απειλές.
Πηγή: cybersecuritynews