Una falla en el complemento de seguridad en millones de sitios de WordPress brinda acceso de administrador

Se ha descubierto una vulnerabilidad crítica de omisión de autenticación que afecta al complemento de WordPress ‘Really Simple Security’ (anteriormente ‘Really Simple SSL’), incluidas las versiones gratuita y Pro.

Really Simple Security es un complemento de seguridad para la plataforma WordPress que ofrece configuración SSL, protección de inicio de sesión, una capa de autenticación de dos factores y detección de vulnerabilidades en tiempo real. Sólo su versión gratuita se utiliza en más de cuatro millones de sitios web.

Wordfence, que reveló públicamente la falla, la califica como una de las vulnerabilidades más graves reportadas en sus 12 años de historia. advertencia que permite a atacantes remotos obtener acceso administrativo completo a los sitios afectados.

Para empeorar las cosas, la falla puede explotarse en masa utilizando scripts automatizados, lo que podría conducir a campañas de apropiación de sitios web a gran escala.

Tal es el riesgo que Wordfence propone que los proveedores de hosting fuercen la actualización del complemento en los sitios de los clientes y escaneen sus bases de datos para asegurarse de que nadie ejecute una versión vulnerable.

2FA conduce a una seguridad más débil

El defecto de gravedad crítica en cuestión es CVE-2024-10924descubierto por el investigador de Wordfence Márton István el 6 de noviembre de 2024.

Se debe a un manejo inadecuado de la autenticación del usuario en las acciones de la API REST de dos factores del complemento, lo que permite el acceso no autorizado a cualquier cuenta de usuario, incluidos los administradores.

Específicamente, el problema radica en la función ‘check_login_and_get_user()’ que verifica las identidades de los usuarios comprobando los parámetros ‘user_id’ y ‘login_nonce’.

Cuando ‘login_nonce’ no es válido, la solicitud no se rechaza, como debería, sino que invoca ‘authenticate_and_redirect()’, que autentica al usuario basándose únicamente en el ‘user_id’, lo que permite efectivamente omitir la autenticación.

La falla se puede explotar cuando la autenticación de dos factores (2FA) está habilitada y, aunque está deshabilitada de manera predeterminada, muchos administradores la permitirán para mayor seguridad de la cuenta.

CVE-2024-10924 afecta a las versiones de complementos desde 9.0.0 y hasta 9.1.1.1 de las versiones «gratuita», «Pro» y «Pro Multisite».

El desarrollador solucionó el problema asegurándose de que el código ahora maneja correctamente los errores de verificación ‘login_nonce’, saliendo inmediatamente de la función ‘check_login_and_get_user()’.

Las correcciones se aplicaron a la versión 9.1.2 del complemento, lanzada el 12 de noviembre para la versión Pro y el 14 de noviembre para los usuarios gratuitos.

El proveedor se coordinó con WordPress.org para forzar actualizaciones de seguridad en los usuarios del complemento, pero los administradores del sitio web aún deben verificar y asegurarse de que estén ejecutando la última versión (9.1.2).

Los usuarios de la versión Pro tienen sus actualizaciones automáticas deshabilitadas cuando caduca la licencia, por lo que deben actualizar manualmente la versión 9.1.2.

A partir de ayer, el Estadísticas de WordPress.org El sitio, que monitorea las instalaciones de la versión gratuita del complemento, mostró aproximadamente 450.000 descargas, dejando 3.500.000 sitios potencialmente expuestos a la falla.