如果公司正在使用WordPress網站,並經由Really Simple Security插件部署雙重認證機制的話就要注意,近日被發現的安全漏洞CVE-2024-10924能讓完全的陌生人變成合法用戶,應該盡快更新插件堵塞漏洞。
CVE-2024-10924安全漏洞的危險
CVE-2024-10924是在名為Really Simple Security的插件中被發現,CVSS的評分是9.8屬於嚴重級別,由於身份驗證機制中的錯誤,攻擊者可以作為任何已登記的用戶,並獲得其權限(甚至管理員權限),結果可導致整個網站落入攻擊者手上,於GitHub上已有人正行了利用這個安全漏洞的測試,而同可以自動化進行,發現這個安全漏洞的研究人員稱,這次是他們在WordPress安全範疇內工作12年以來最危險的安全漏洞。
受影響範圍
無論是付費或免費版本的Really Simple Security插件的用戶,只要自9.0.0至9.1.1.1的版本都受安全漏洞影響,然而要使用CVE-2024-10924這個安全漏洞,必需啟動插件的雙重認證功能(該功能預設關閉,但很多用戶因為這項功能而選擇這個插件),由於免費的關係,此插件極度普及,研究人員聲稱已有約400萬個網站安裝。
盡快更新保平安
為保安全,建議應該盡快更新自9.1.2版本,如果有原因無法更新,關閉雙重認證是折衷的方法,然而並不理想,因為會弱化網站的保安,WordPress.org啟動了自動更新插件的機制,但也建議管理員應該到控制台確保插件已經更新。該插件的開發者網站對更新不成功的人士提供了相關的貼士,如果更新過程中遇上困難可以參考。另外,即使已更新插件,乍看來沒有惡意活動也好,不妨小心查看擁有管理員權限的用戶清單,慎防攻擊者已隱身其中。
資料來源:Kaspersky Blog
