Najmenej 4 000 000 stránok vytvorených pomocou WordPress s použitím bezplatnej alebo platenej verzie Really Simple Security(predtým Really Simple SSL) bolo ovplyvnených kritickou zraniteľnosťou obchádzania overovania.
Všetky podrobnosti nájdete v tomto článku Istvána Mártona na blogu spoločnosti Wordfence.
Zraniteľnosť, ktorá je už plne opravená vo verzii 9.1.2 zásuvného modulu, objavila spoločnosť Wordfence, ktorá tvrdí, že ide o jednu z najzávažnejších zraniteľností, ktoré zaznamenala vo svojej 12-ročnej histórii ako poskytovateľ zabezpečenia WordPress. Zraniteľnosť sa týka zásuvného modulu Really Simple Security, predtým známeho ako Really Simple SSL, ktorý je nainštalovaný na viac ako 4 miliónoch stránok a umožňuje útočníkovi na diaľku získať úplný administratívny prístup na stránku, na ktorej je zásuvný modul nainštalovaný.
Táto zraniteľnosť obchádzania overovania, ktorá sa týka verzií 9.0.0.0 až 9.1.1.1.1 doplnku, by útočníkom umožnila obísť overovanie pre určité konfigurácie 2FA.
Tento zásuvný modul bol dlho masovo inštalovaný len preto, aby umožnil HTTPS, ale neskôr boli pridané ďalšie funkcie súvisiace s bezpečnosťou, až kým WordPress v roku 2021 nezaviedol vo verzii 5.7 natívnu možnosť prepnutia z HTTP na HTTPS jedným kliknutím, takže veľa týchto skutočne jednoduchých inštalácií SSL bolo stále aktívnych v mnohých inštaláciách WordPress.
Nikdy nie je na škodu pamätať na to, že je vhodné vykonávať pravidelné revízie zásuvných modulov a odinštalovať tie, ktoré už nepotrebujete alebo ktoré môžete nahradiť útržkami alebo funkciami pridanými ručne, ak ide o doplnky s jednoduchými funkciami.
Ako odporúča spoločnosť Wordfence, je dobré zdieľať toto upozornenie so všetkými známymi, ktorí používajú tieto doplnky, aby ich čo najskôr aktualizovali, pretože táto zraniteľnosť predstavuje významné riziko.
Vývojári už poštou informovali všetkých používateľov programu Really Simple Security (Free a Pro) o aktualizácii na verziu 9.1.2, ktorá bola vydaná včera a ktorá opravuje zraniteľnosť.