Almeno 4.000.000 di pagine realizzate con WordPress utilizzando la versione gratuita o a pagamento di Really Simple Security(ex Really Simple SSL) sono state colpite da una vulnerabilità critica di bypass dell'autenticazione.
Tutti i dettagli sono riportati in questo articolo di István Márton sul blog di Wordfence.
La vulnerabilità, già completamente risolta nella versione 9.1.2 del plugin, è stata scoperta da Wordfence, che afferma che si tratta di una delle più gravi vulnerabilità segnalate nei suoi 12 anni di storia come fornitore di sicurezza per WordPress. La vulnerabilità riguarda il plugin Really Simple Security, precedentemente noto come Really Simple SSL, installato su oltre 4 milioni di pagine e consente a un utente malintenzionato di ottenere da remoto l'accesso amministrativo completo a un sito che utilizza il plugin.
Questa vulnerabilità di bypass dell'autenticazione, che riguarda le versioni da 9.0.0.0 a 9.1.1.1.1 del plugin, consentirebbe agli aggressori di bypassare l'autenticazione per alcune configurazioni 2FA.
Questo plugin è stato installato massicciamente per molto tempo solo per abilitare l'HTTPS, ma in seguito sono state aggiunte altre funzionalità legate alla sicurezza fino a quando, nel 2021, WordPress ha introdotto nella versione 5.7 un'opzione nativa per passare da HTTP a HTTPS con un solo clic, per cui molte installazioni di Really Simple SSL erano ancora attive su molte installazioni di WordPress.
Non fa mai male ricordare che è consigliabile fare revisioni periodiche dei plugin e disinstallare quelli che non servono più o che si possono sostituire con snippet o funzioni aggiunte a mano quando si tratta di componenti aggiuntivi con funzioni semplici.
Come raccomandato da Wordfence, è bene condividere l'avviso con tutti coloro che utilizzano questi plugin in modo che si aggiornino il prima possibile, poiché questa vulnerabilità rappresenta un rischio significativo.
Gli sviluppatori hanno già notificato per posta a tutti gli utenti di Really Simple Security (Free e Pro) l'aggiornamento alla versione 9.1.2, che è stata rilasciata ieri, e che corregge la vulnerabilità.