Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости» » Интернет технологии
sitename
Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
 Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»

✔Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»

19 ноября 2024 765 Новости / Преимущества стилей / Сайтостроение / Вёрстка / Добавления стилей / Отступы и поля / Видео уроки / Изображения / Заработок 0

В плагине Really Simple Security (ранее Really Simple SSL) для WordPress нашли критическую уязвимость, которая потенциально может привести к полной компрометации 4 000 000 сайтов. Специалисты Defiant, обнаружившие баг, предупредили, что это одна из самых серьезных уязвимостей, выявленных ими за всю 12-летнюю историю работы.



Плагин Really Simple Security используется на четырех миллионах сайтов под управлением WordPress. С его помощью администраторы могут добавлять различные защитные функции, включая настройку SSL, двухфакторную аутентификацию, дополнительную защиту при входе, обнаружение уязвимостей и многое другое.



Уязвимость получила идентификатор CVE-2024-10924 (9,8 балла по шкале CVSS) и представляет собой обход аутентификации, который позволяет неавторизованному злоумышленнику войти в систему под видом любого пользователя сайта, включая администратора.


CVE-2024-10924 затрагивает Really Simple Security версий от 9.0.0 до 9.1.1.1,  причем уязвимы как бесплатная версия, так и версии Pro и Pro Multisite.


По данным аналитиков Defiant, уязвимость возникает из-за некорректной обработки аутентификации пользователей и небезопасной реализации функций, связанных с REST API. В частности, ошибка проявляется, если включена двухфакторная аутентификация (2FA). Хотя по умолчанию она отключена, многие администраторы разрешают ее использование для усиления безопасности.


Исследователи объясняют, что функция check_login_and_get_user() верифицирует пользователей, используя параметры user_id и login_nonce. Но в случае если login_nonce недействителен, запрос не отклоняется, и вместо этого вызывается authenticate_and_redirect(), которая аутентифицирует пользователя только на основе user_id. В результате пользователь проходит аутентификацию просто на основе предоставленного ID.


Разработчиков Really Simple Security уведомили о проблеме 6 ноября, а 12 ноября и 14 ноября они выпустили исправления для бесплатной и Pro версий плагина.


Учитывая серьезность ситуации разработчики и команда WordPress.org принудительно распространяют исправленную версию Really Simple Security 9.1.2 среди пользователей. Но всем администраторам сайтов, использующих плагин, рекомендуется убедиться, что они точно перешли на безопасную версию.


Согласно официальной статистике, порядка 3 500 000 сайтов, на которых установлен Really Simple Security, могут быть по-прежнему уязвимы для атак.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В плагине Really Simple Security (ранее Really Simple SSL) для WordPress нашли критическую уязвимость, которая потенциально может привести к полной компрометации 4 000 000 сайтов. Специалисты Defiant, обнаружившие баг, предупредили, что это одна из самых серьезных уязвимостей, выявленных ими за всю 12-летнюю историю работы. Плагин Really Simple Security используется на четырех миллионах сайтов под управлением WordPress. С его помощью администраторы могут добавлять различные защитные функции, включая настройку SSL, двухфакторную аутентификацию, дополнительную защиту при входе, обнаружение уязвимостей и многое другое. Уязвимость получила идентификатор CVE-2024-10924 (9,8 балла по шкале CVSS) и представляет собой обход аутентификации, который позволяет неавторизованному злоумышленнику войти в систему под видом любого пользователя сайта, включая администратора. CVE-2024-10924 затрагивает Really Simple Security версий от 9.0.0 до 9.1.1.1, причем уязвимы как бесплатная версия, так и версии Pro и Pro Multisite. По данным аналитиков Defiant, уязвимость возникает из-за некорректной обработки аутентификации пользователей и небезопасной реализации функций, связанных с REST API. В частности, ошибка проявляется, если включена двухфакторная аутентификация (2FA). Хотя по умолчанию она отключена, многие администраторы разрешают ее использование для усиления безопасности. Исследователи объясняют, что функция check_login_andFiltered_user() верифицирует пользователей, используя параметры user_id и login_nonce. Но в случае если login_nonce недействителен, запрос не отклоняется, и вместо этого вызывается authenticate_and_redirect(), которая аутентифицирует пользователя только на основе user_id. В результате пользователь проходит аутентификацию просто на основе предоставленного ID. Разработчиков Really Simple Security уведомили о проблеме 6 ноября, а 12 ноября и 14 ноября они выпустили исправления для бесплатной и Pro версий плагина. Учитывая серьезность ситуации разработчики и команда WordPress.org принудительно распространяют исправленную версию Really Simple Security 9.1.2 среди пользователей. Но всем администраторам сайтов, использующих плагин, рекомендуется убедиться, что они точно перешли на безопасную версию. Согласно официальной статистике, порядка 3 500 000 сайтов, на которых установлен Really Simple Security, могут быть по-прежнему уязвимы для атак.
CSS
запостил(а)
Allford
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: