ISGroup Conseil en Cybersécurité

Bypass di Autenticazione Critico nel Plugin WordPress ‘Really Simple Security’

CVE-2024-10924 est une vulnérabilité critique affectant l’extension Really Simple Security pour WordPress, incluant les versions gratuite et Pro. Avec plus de quatre millions d’installations actives, cette extension propose la configuration SSL, la protection des accès, l’authentification à deux facteurs (2FA) et la détection des vulnérabilités en temps réel. Découverte par Wordfence le 6 novembre 2024, la faille compromet les processus d’authentification, permettant aux attaquants de contourner les mesures de sécurité et d’obtenir un accès administratif complet aux sites web concernés.

Produitreally-simple-ssl
Date20-11-2024 15:56:24
Informations
  • Tendance
  • Correctif disponible
  • Exploitation active

Résumé technique

La vulnérabilité découle d’une gestion inappropriée du paramètre login_nonce dans les actions de l’API REST pour l’authentification à deux facteurs de l’extension. Lorsque cette valeur est invalide, le processus d’authentification se rabat sur l’utilisation du seul paramètre user_id, permettant de fait un accès non autorisé. La faille concerne les versions de l’extension de 9.0.0 à 9.1.1.1, incluant les éditions gratuite, Pro et Pro Multisite. Bien que la 2FA soit désactivée par défaut, de nombreux administrateurs l’activent pour renforcer la sécurité — augmentant ironiquement la surface d’attaque exploitable. Les attaquants peuvent utiliser des scripts automatisés pour cibler simultanément plusieurs sites web, rendant cette menace à haut risque et à grande échelle. Le problème a été résolu dans la version 9.1.2 en corrigeant la fonction afin qu’elle soit correctement terminée en cas d’échec de la vérification du login_nonce. Les correctifs ont été publiés le 12 novembre (version Pro) et le 14 novembre (version gratuite).

Recommandations

Mettre à jour vers la version 9.1.2 ou ultérieure :

  • Les utilisateurs Pro doivent effectuer la mise à jour manuellement si les mises à jour automatiques sont désactivées en raison d’une licence expirée.
  • Les utilisateurs de la version gratuite doivent vérifier que leur site a bien reçu la mise à jour forcée de WordPress.org.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *