Er is een kritieke kwetsbaarheid voor het omzeilen van authenticatie onthuld in de Real Simple Security (voorheen Real Simple SSL) plug-in voor WordPress die, indien succesvol misbruikt, een aanvaller op afstand volledige beheerderstoegang tot een gevoelige site zou kunnen geven.
De kwetsbaarheid, bijgehouden als CVE-2024-10924 (CVSS-score: 9,8), heeft gevolgen voor zowel de gratis als premium-versies van de plug-in. De software is geïnstalleerd op meer dan 4 miljoen WordPress-sites.
“De kwetsbaarheid is scriptbaar, wat betekent dat het kan worden omgezet in een grootschalige geautomatiseerde aanval, gericht op WordPress-websites”, zegt Wordfence-beveiligingsonderzoeker István Márton.
Na een verantwoorde openbaarmaking op 6 november 2024 is de tekortkoming verholpen in versie 9.1.2 die een week later werd uitgebracht. Dit risico op mogelijk misbruik heeft de beheerders van de plug-ins ertoe aangezet om met WordPress samen te werken om alle sites waarop deze plug-in draait, geforceerd bij te werken voordat deze openbaar worden gemaakt.
Volgens Wordfence komt de kwetsbaarheid voor het omzeilen van authenticatie, gevonden in versies 9.0.0 tot en met 9.1.1.1, voort uit onjuiste foutafhandeling bij gebruikerscontroles in een functie genaamd “check_login_and_get_user”, waardoor niet-geverifieerde aanvallers kunnen inloggen als willekeurige gebruikers, inclusief beheerders, wanneer twee -factorauthenticatie is ingeschakeld.
“Helaas is een van de functies die tweefactorauthenticatie toevoegt, op een onveilige manier geïmplementeerd, waardoor niet-geverifieerde aanvallers toegang kunnen krijgen tot elk gebruikersaccount, inclusief een beheerdersaccount, met een eenvoudig verzoek wanneer tweefactorauthenticatie is ingeschakeld”, aldus Márton.
Succesvol misbruik van de kwetsbaarheid kan ernstige gevolgen hebben, omdat kwaadwillende actoren hierdoor WordPress-sites kunnen kapen en deze verder voor criminele doeleinden kunnen gebruiken.
De onthulling komt dagen nadat Wordfence een andere kritieke tekortkoming in het WPLMS Learning Management System voor WordPress heeft onthuld, WordPress LMS (CVE-2024-10470, CVSS-score: 9,8), waardoor niet-geverifieerde bedreigingsactoren willekeurige bestanden kunnen lezen en verwijderen, wat mogelijk kan resulteren in code uitvoering.
Concreet is het thema, vóór versie 4.963, “kwetsbaar voor het willekeurig lezen en verwijderen van bestanden vanwege onvoldoende validatie van het bestandspad en toestemmingscontroles”, waardoor niet-geverifieerde aanvallers willekeurige bestanden op de server kunnen verwijderen.
“Dit maakt het voor niet-geverifieerde aanvallers mogelijk om elk willekeurig bestand op de server te lezen en te verwijderen, inclusief het wp-config.php-bestand van de site”, aldus het rapport. “Het verwijderen van wp-config.php forceert de site in een setup-status, waardoor een aanvaller een site-overname kan initiëren door deze te verbinden met een database onder hun controle.”