Quatro milhões de instalações WordPress em risco devido a uma vulnerabilidade no plugin Really Simple Security

 
Quatro milhões de instalações WordPress em risco devido a uma vulnerabilidade no plugin Really Simple Security

Pelo menos 4.000.000 de páginas criadas com o WordPress utilizando a versão gratuita ou paga do Really Simple Security(anteriormente Really Simple SSL) foram afectadas por uma vulnerabilidade crítica de desvio de autenticação.

Todos os pormenores estão neste artigo de István Márton no blogue do Wordfence.

A vulnerabilidade, já totalmente corrigida na versão 9.1.2 do plugin, foi descoberta pelo Wordfence, que afirma tratar-se de uma das vulnerabilidades mais graves que já reportou nos seus 12 anos de história como fornecedor de segurança para WordPress. A vulnerabilidade afecta o plugin Really Simple Security, anteriormente conhecido como Really Simple SSL, instalado em mais de 4 milhões de páginas e permite que um atacante obtenha remotamente acesso administrativo total a um sítio que utilize o plugin.

Esta vulnerabilidade de contorno de autenticação, que afecta as versões 9.0.0.0 a 9.1.1.1.1 do plug-in, permite que os atacantes contornem a autenticação em determinadas configurações 2FA.

Este plugin foi instalado em massa durante muito tempo apenas para ativar o HTTPS, mas mais tarde foram adicionadas outras funcionalidades relacionadas com a segurança até que, em 2021, o WordPress introduziu na versão 5.7 uma opção nativa para mudar de HTTP para HTTPS com um clique, pelo que muitas dessas instalações SSL Really Simple ainda estavam activas em muitas instalações WordPress.

Nunca é demais lembrar que é aconselhável fazer revisões periódicas dos plug-ins e desinstalar aqueles que já não são necessários ou que podem ser substituídos por snippets ou funções adicionadas à mão quando se trata de add-ons com funções simples.

Tal como recomendado pelo Wordfence, é uma boa ideia partilhar o aviso com todas as pessoas que conhece e que utilizam estes plug-ins, para que façam a atualização o mais rapidamente possível, uma vez que esta vulnerabilidade representa um risco significativo.

Os programadores já notificaram por correio eletrónico todos os utilizadores do Really Simple Security (Free e Pro) da atualização para a versão 9.1.2, que foi lançada ontem e que corrige a vulnerabilidade.

Deixe um comentário

Subscrição por correio eletrónico

Receba gratuitamente artigos completos na sua caixa de correio eletrónico, sem publicidade, assim que forem publicados. O conteúdo completo do feed é enviado sem anúncios através de um serviço externo.