至少有 4,000,000 个使用免费或付费版Really Simple Security(前身为 Really Simple SSL)的 WordPress 网页受到一个重要身份验证绕过漏洞的影响。
所有详细信息请参见István Márton在 Wordfence 博客上发表的这篇文章。
Wordfence发现了这一漏洞,并表示这是他们作为WordPress安全提供商12年来所报告的最严重的漏洞之一。该漏洞影响到安装在 400 多万个网页上的Really Simple Security 插件(以前称为Really Simple SSL),允许攻击者远程获得运行该插件的网站的完全管理访问权限。
该身份验证绕过漏洞影响插件的 9.0.0.0 至 9.1.1.1.1 版本,攻击者可绕过某些 2FA 配置的身份验证。
这个插件在很长一段时间内都被大量安装,只是为了启用 HTTPS,但后来又增加了其他与安全相关的功能,直到 2021 年,WordPress 在5.7版中推出了一键从 HTTP 切换到 HTTPS 的原生选项,因此在许多 WordPress 安装中,仍然活跃着许多Really Simple SSL安装。
请记住,最好定期对插件进行审查,卸载那些不再需要的插件,或者用片段或手工添加的功能来替代那些功能简单的插件。
根据 Wordfence 的建议,最好与您认识的所有使用这些插件的人分享该警告,以便他们尽快更新,因为该漏洞会带来重大风险。
开发人员已通过邮件通知所有 Really Simple Security 用户(免费版和专业版)更新至9.1.2 版本,该版本已于昨天发布,对漏洞进行了修补和修复。