CVE-2024-10924 ist eine kritische Schwachstelle, die das Plugin „Really Simple Security“ für WordPress betrifft, einschließlich der kostenlosen sowie der Pro-Version. Mit über vier Millionen aktiven Installationen bietet dieses Plugin SSL-Konfiguration, Login-Schutz, Zwei-Faktor-Authentifizierung (2FA) und Echtzeit-Schwachstellenerkennung. Die am 6. November 2024 von Wordfence entdeckte Sicherheitslücke beeinträchtigt die Authentifizierungsprozesse und ermöglicht es Angreifern, Sicherheitsmaßnahmen zu umgehen und vollen administrativen Zugriff auf betroffene Websites zu erlangen.
| Produkt | really-simple-ssl |
| Datum | 20.11.2024 15:56:24 |
| Informationen |
|
Technische Zusammenfassung
Die Schwachstelle resultiert aus einer fehlerhaften Handhabung des Parameters login_nonce bei REST-API-Aktionen für die Zwei-Faktor-Authentifizierung des Plugins. Wenn dieser Wert ungültig ist, greift der Authentifizierungsprozess auf die alleinige Verwendung des Parameters user_id zurück, was faktisch einen unbefugten Zugriff ermöglicht.
Die Sicherheitslücke betrifft die Plugin-Versionen 9.0.0 bis 9.1.1.1, einschließlich der kostenlosen, Pro- und Pro-Multisite-Editionen. Obwohl 2FA standardmäßig deaktiviert ist, aktivieren viele Administratoren diese Funktion zur Stärkung der Sicherheit – was ironischerweise die Angriffsfläche vergrößert. Angreifer können automatisierte Skripte einsetzen, um gleichzeitig mehrere Websites anzugreifen, was diese Bedrohung zu einem hochriskanten Problem in großem Maßstab macht.
Das Problem wurde in Version 9.1.2 behoben, indem die Funktion korrigiert wurde, sodass sie bei einer fehlgeschlagenen Überprüfung des login_nonce nun ordnungsgemäß abbricht. Die Patches wurden am 12. November (Pro-Version) und am 14. November (kostenlose Version) veröffentlicht.
Empfehlungen
Aktualisierung auf Version 9.1.2 oder höher:
- Pro-Nutzer müssen das Update manuell durchführen, falls automatische Updates aufgrund einer abgelaufenen Lizenz deaktiviert sind.
- Nutzer der kostenlosen Version sollten sicherstellen, dass ihre Website das erzwungene Update von WordPress.org erhalten hat.
[Callforaction-THREAT-Footer]
Leave a Reply