Négymillió WordPress telepítés veszélyben a Really Simple Security plugin sebezhetősége miatt

 
Négymillió WordPress telepítés veszélyben a Really Simple Security plugin sebezhetősége miatt

A Really Simple Security(korábban Really Simple SSL) ingyenes vagy fizetős verzióját használó WordPress-szel készült legalább 4 000 000 oldal érintett egy kritikus hitelesítési megkerülési sebezhetőségben.

Minden részletet Márton István cikkében olvashatsz a Wordfence blogon.

A sebezhetőséget, amelyet a bővítmény 9.1.2-es verziója már teljes mértékben javított, a Wordfence fedezte fel, akik szerint ez az egyik legsúlyosabb sebezhetőség, amelyet a WordPress biztonsági szolgáltatójaként 12 éves történelmük során jelentettek. A sebezhetőség a több mint 4 millió oldalra telepített Really Simple Security plugint, korábbi nevén Really Simple SSL-t érinti, és lehetővé teszi a támadó számára, hogy távolról teljes rendszergazdai hozzáférést szerezzen a plugint futtató webhelyhez.

Ez a hitelesítés megkerülése sebezhetőség, amely a bővítmény 9.0.0.0 és 9.1.1.1.1.1 közötti verzióit érinti, lehetővé teszi a támadók számára, hogy bizonyos 2FA-konfigurációk esetében megkerüljék a hitelesítést.

Ezt a plugint sokáig csak a HTTPS engedélyezése miatt telepítették tömegesen, de később más, biztonsággal kapcsolatos funkciókat is hozzáadtak, mígnem 2021-ben a WordPress az 5.7-es verzióban bevezetett egy natív opciót, amellyel a HTTP-ről HTTPS-re lehetett váltani egyetlen kattintással, így sok ilyen Really Simple SSL telepítés még mindig aktív volt sok WordPress telepítésen.

Soha nem árt emlékezni arra, hogy célszerű rendszeresen felülvizsgálni a bővítményeket, és eltávolítani azokat, amelyekre már nincs szükséged, vagy amelyeket kézzel hozzáadott snippetekkel vagy funkciókkal tudsz helyettesíteni, ha egyszerű funkciókkal rendelkező bővítményekről van szó.

A Wordfence ajánlása szerint érdemes megosztani a figyelmeztetést mindazokkal az ismerőseinkkel, akik ezeket a bővítményeket használják, hogy minél hamarabb frissítsenek, mivel ez a sebezhetőség jelentős kockázatot jelent.

A fejlesztők már levélben értesítették a Really Simple Security összes (ingyenes és Pro) felhasználóját a tegnap megjelent 9.1.2-es verzióra történő frissítésről, amely javítja és kijavítja a sebezhetőséget.

Szólj hozzá!