Bent 4 000 000 000 puslapių, sukurtų naudojant "WordPress" ir naudojančių nemokamą arba mokamą " Really Simple Security"(anksčiau - "Really Simple SSL") versiją, buvo paveikta kritinės autentifikavimo apėjimo spragos.
Visa išsami informacija pateikiama šiame István Márton straipsnyje " Wordfence" tinklaraštyje.
Įskiepio 9.1.2 versijoje jau visiškai ištaisytą pažeidžiamumą aptiko "Wordfence", kuri teigia, kad tai vienas iš rimčiausių pažeidžiamumų, apie kuriuos pranešė per 12 metų "WordPress" saugumo paslaugų teikėjo istoriją. Pažeidžiamumas susijęs su daugiau nei 4 mln. puslapių įdiegtu įskiepiu " Really Simple Security", anksčiau žinomu kaip " Really Simple SSL", ir leidžia įsilaužėliui nuotoliniu būdu įgyti visišką administracinę prieigą prie svetainės, kurioje įdiegtas šis įskiepis.
Dėl šios autentifikavimo apėjimo spragos, kuri susijusi su 9.0.0.0.0-9.1.1.1.1.1 įskiepio versijomis, užpuolikai gali apeiti tam tikrų 2FA konfigūracijų autentifikavimą.
Šis įskiepis ilgą laiką buvo masiškai diegiamas tik tam, kad būtų įjungtas HTTPS, tačiau vėliau buvo pridėta kitų su saugumu susijusių funkcijų, kol 2021 m. "WordPress" 5.7 versijoje pristatė vietinę galimybę vienu spustelėjimu pereiti nuo HTTP prie HTTPS, todėl daugelyje "WordPress" įrenginių vis dar buvo įdiegta daug šių tikrai paprastų SSL įrenginių.
Niekada nepakenks prisiminti, kad patartina periodiškai peržiūrėti papildinius ir pašalinti tuos, kurių jums nebereikia arba kuriuos galite pakeisti fragmentais ar rankomis pridėtomis funkcijomis, kai kalbama apie paprastas funkcijas turinčius priedus.
Kaip rekomenduoja "Wordfence", verta pasidalyti šiuo įspėjimu su visais, kuriuos pažįstate ir kurie naudoja šiuos įskiepius, kad jie kuo greičiau juos atnaujintų, nes šis pažeidžiamumas kelia didelį pavojų.
Kūrėjai visiems "Really Simple Security" naudotojams (nemokamiems ir "Pro") jau pranešė paštu apie vakar išleistą 9.1.2 versijos atnaujinimą, kuriame ištaisyta ir ištaisyta pažeidžiamoji vieta.