Vier miljoen WordPress-installaties in gevaar door kwetsbaarheid in Really Simple Security-plugin

 
Vier miljoen WordPress-installaties in gevaar door kwetsbaarheid in Really Simple Security-plugin

Ten minste 4.000.000 pagina's die zijn gemaakt met WordPress en die gebruikmaken van de gratis of betaalde versie van Really Simple Security(voorheen Really Simple SSL) zijn getroffen door een kritiek lek in de authenticatieomleiding.

Alle details staan in dit artikel van István Márton op de Wordfence blog.

De kwetsbaarheid, die al volledig is verholpen in versie 9.1.2 van de plugin, werd ontdekt door Wordfence, die zegt dat het een van de ernstigste kwetsbaarheden is die ze hebben gemeld in hun 12-jarige geschiedenis als WordPress-beveiligingsprovider. De kwetsbaarheid beïnvloedt de Really Simple Security plugin, voorheen bekend als Really Simple SSL, die op meer dan 4 miljoen pagina's is geïnstalleerd en stelt een aanvaller in staat om op afstand volledige administratieve toegang te krijgen tot een site waarop de plugin draait.

Door deze kwetsbaarheid in het omzeilen van de authenticatie, die van invloed is op versies 9.0.0.0 tot 9.1.1.1 van de plugin, kunnen aanvallers de authenticatie voor bepaalde 2FA-configuraties omzeilen.

Deze plugin werd lange tijd massaal geïnstalleerd alleen maar om HTTPS in te schakelen, maar later werden er andere beveiligingsfuncties aan toegevoegd totdat WordPress in 2021 in versie 5.7 een native optie introduceerde om met één klik van HTTP naar HTTPS over te schakelen, dus veel van die Really Simple SSL installaties waren nog steeds actief op veel WordPress installaties.

Het kan nooit kwaad om te onthouden dat het raadzaam is om plugins periodiek te controleren en plugins te verwijderen die je niet meer nodig hebt of die je kunt vervangen door knipsels of functies die je met de hand hebt toegevoegd als het gaat om add-ons met eenvoudige functies.

Zoals Wordfence aanbeveelt, is het een goed idee om de waarschuwing te delen met iedereen die deze plugins gebruikt zodat ze zo snel mogelijk updaten, aangezien deze kwetsbaarheid een aanzienlijk risico vormt.

De ontwikkelaars hebben alle gebruikers van Really Simple Security (Free en Pro) al per e-mail op de hoogte gesteld van de update naar versie 9.1.2, die gisteren is uitgebracht en die de kwetsbaarheid patcht en verhelpt.

Plaats een reactie