Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости» » Интернет технологии
sitename
Новый способ подтверждения прав на домен в Яндекс Вебмастере — «Блог для вебмастеров»
Новый способ подтверждения прав на домен в Яндекс Вебмастере — «Блог для вебмастеров»
 Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
 Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
 Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
 Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
 Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
 Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»

✔Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»

19 ноября 2024 764 Новости / Преимущества стилей / Сайтостроение / Вёрстка / Добавления стилей / Отступы и поля / Видео уроки / Изображения / Заработок 0

В плагине Really Simple Security (ранее Really Simple SSL) для WordPress нашли критическую уязвимость, которая потенциально может привести к полной компрометации 4 000 000 сайтов. Специалисты Defiant, обнаружившие баг, предупредили, что это одна из самых серьезных уязвимостей, выявленных ими за всю 12-летнюю историю работы.



Плагин Really Simple Security используется на четырех миллионах сайтов под управлением WordPress. С его помощью администраторы могут добавлять различные защитные функции, включая настройку SSL, двухфакторную аутентификацию, дополнительную защиту при входе, обнаружение уязвимостей и многое другое.



Уязвимость получила идентификатор CVE-2024-10924 (9,8 балла по шкале CVSS) и представляет собой обход аутентификации, который позволяет неавторизованному злоумышленнику войти в систему под видом любого пользователя сайта, включая администратора.


CVE-2024-10924 затрагивает Really Simple Security версий от 9.0.0 до 9.1.1.1,  причем уязвимы как бесплатная версия, так и версии Pro и Pro Multisite.


По данным аналитиков Defiant, уязвимость возникает из-за некорректной обработки аутентификации пользователей и небезопасной реализации функций, связанных с REST API. В частности, ошибка проявляется, если включена двухфакторная аутентификация (2FA). Хотя по умолчанию она отключена, многие администраторы разрешают ее использование для усиления безопасности.


Исследователи объясняют, что функция check_login_and_get_user() верифицирует пользователей, используя параметры user_id и login_nonce. Но в случае если login_nonce недействителен, запрос не отклоняется, и вместо этого вызывается authenticate_and_redirect(), которая аутентифицирует пользователя только на основе user_id. В результате пользователь проходит аутентификацию просто на основе предоставленного ID.


Разработчиков Really Simple Security уведомили о проблеме 6 ноября, а 12 ноября и 14 ноября они выпустили исправления для бесплатной и Pro версий плагина.


Учитывая серьезность ситуации разработчики и команда WordPress.org принудительно распространяют исправленную версию Really Simple Security 9.1.2 среди пользователей. Но всем администраторам сайтов, использующих плагин, рекомендуется убедиться, что они точно перешли на безопасную версию.


Согласно официальной статистике, порядка 3 500 000 сайтов, на которых установлен Really Simple Security, могут быть по-прежнему уязвимы для атак.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В плагине Really Simple Security (ранее Really Simple SSL) для WordPress нашли критическую уязвимость, которая потенциально может привести к полной компрометации 4 000 000 сайтов. Специалисты Defiant, обнаружившие баг, предупредили, что это одна из самых серьезных уязвимостей, выявленных ими за всю 12-летнюю историю работы. Плагин Really Simple Security используется на четырех миллионах сайтов под управлением WordPress. С его помощью администраторы могут добавлять различные защитные функции, включая настройку SSL, двухфакторную аутентификацию, дополнительную защиту при входе, обнаружение уязвимостей и многое другое. Уязвимость получила идентификатор CVE-2024-10924 (9,8 балла по шкале CVSS) и представляет собой обход аутентификации, который позволяет неавторизованному злоумышленнику войти в систему под видом любого пользователя сайта, включая администратора. CVE-2024-10924 затрагивает Really Simple Security версий от 9.0.0 до 9.1.1.1, причем уязвимы как бесплатная версия, так и версии Pro и Pro Multisite. По данным аналитиков Defiant, уязвимость возникает из-за некорректной обработки аутентификации пользователей и небезопасной реализации функций, связанных с REST API. В частности, ошибка проявляется, если включена двухфакторная аутентификация (2FA). Хотя по умолчанию она отключена, многие администраторы разрешают ее использование для усиления безопасности. Исследователи объясняют, что функция check_login_andFiltered_user() верифицирует пользователей, используя параметры user_id и login_nonce. Но в случае если login_nonce недействителен, запрос не отклоняется, и вместо этого вызывается authenticate_and_redirect(), которая аутентифицирует пользователя только на основе user_id. В результате пользователь проходит аутентификацию просто на основе предоставленного ID. Разработчиков Really Simple Security уведомили о проблеме 6 ноября, а 12 ноября и 14 ноября они выпустили исправления для бесплатной и Pro версий плагина. Учитывая серьезность ситуации разработчики и команда WordPress.org принудительно распространяют исправленную версию Really Simple Security 9.1.2 среди пользователей. Но всем администраторам сайтов, использующих плагин, рекомендуется убедиться, что они точно перешли на безопасную версию. Согласно официальной статистике, порядка 3 500 000 сайтов, на которых установлен Really Simple Security, могут быть по-прежнему уязвимы для атак.
CSS
запостил(а)
Allford
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: