Really Simple Securityn(aiemmin Really Simple SSL) ilmaista tai maksullista versiota käyttävällä WordPressillä tehdyt vähintään 4 000 000 sivua kärsivät kriittisestä todennuksen ohitushaavoittuvuudesta.
Kaikki yksityiskohdat ovat tässä István Mártonin artikkelissa Wordfence-blogissa.
Wordfence löysi haavoittuvuuden, joka on jo täysin korjattu lisäosan versiossa 9.1.2. Wordfence sanoo, että se on yksi vakavimmista haavoittuvuuksista, joita he ovat raportoineet 12-vuotisen historiansa aikana WordPress-tietoturvatoimittajana. Haavoittuvuus vaikuttaa Really Simple Security-lisäosaan, joka tunnettiin aiemmin nimellä Really Simple SSL, joka on asennettu yli neljään miljoonaan sivuun, ja sen avulla hyökkääjä voi saada etäyhteyden kautta täyden hallinnointioikeuden sivustoon, jossa lisäosa on käytössä.
Tämä todennuksen ohitushaavoittuvuus, joka vaikuttaa laajennuksen versioihin 9.0.0.0-9.1.1.1.1.1, antaa hyökkääjille mahdollisuuden ohittaa todennuksen tietyissä 2FA-konfiguraatioissa.
Tämä lisäosa asennettiin pitkään massiivisesti vain HTTPS:n käyttöönottamiseksi, mutta myöhemmin siihen lisättiin muita turvallisuuteen liittyviä ominaisuuksia, kunnes vuonna 2021 WordPress otti käyttöön versiossa 5. 7 natiivin vaihtoehdon HTTP:stä HTTPS:ään yhdellä napsautuksella, joten monet näistä Really Simple SSL -asennuksista olivat edelleen aktiivisia monissa WordPress-asennuksissa.
Koskaan ei ole pahitteeksi muistaa, että on suositeltavaa tehdä säännöllisiä tarkistuksia lisäosista ja poistaa ne, joita et enää tarvitse tai jotka voit korvata käsin lisätyillä pätkillä tai toiminnoilla, kun kyse on lisäosista, joissa on yksinkertaisia toimintoja.
Kuten Wordfence suosittelee, on hyvä idea jakaa varoitus kaikille tutuille, jotka käyttävät näitä liitännäisiä, jotta he päivittävät sen mahdollisimman pian, sillä tämä haavoittuvuus aiheuttaa merkittävän riskin.
Kehittäjät ovat jo ilmoittaneet sähköpostitse kaikille Really Simple Securityn käyttäjille (Free ja Pro) eilen julkaistusta päivityksestä versioon 9.1.2, joka korjaa haavoittuvuuden.