ISGroup Consultoría de Ciberseguridad

Bypass de Autenticación Crítico en el Plugin de WordPress ‘Really Simple Security’

CVE-2024-10924 es una vulnerabilidad crítica que afecta al plugin Really Simple Security para WordPress, incluyendo tanto la versión gratuita como la Pro. Con más de cuatro millones de instalaciones activas, este plugin ofrece configuración SSL, protección de inicio de sesión, autenticación de dos factores (2FA) y detección de vulnerabilidades en tiempo real. Descubierta por Wordfence el 6 de noviembre de 2024, la falla compromete los procesos de autenticación, permitiendo a los atacantes eludir las medidas de seguridad y obtener acceso administrativo completo a los sitios web afectados.

Productoreally-simple-ssl
Fecha2024-11-20 15:56:24
Información
  • Tendencia
  • Solución disponible
  • Explotación activa

Resumen técnico

La vulnerabilidad se deriva de una gestión inadecuada del parámetro login_nonce en las acciones de la API REST para la autenticación de dos factores del plugin. Cuando este valor es inválido, el proceso de autenticación recurre al uso exclusivo del parámetro user_id, permitiendo de hecho un acceso no autorizado. La falla afecta a las versiones del plugin desde la 9.0.0 hasta la 9.1.1.1, incluyendo las ediciones gratuita, Pro y Pro Multisite. Aunque la 2FA está desactivada por defecto, muchos administradores la activan para reforzar la seguridad, irónicamente aumentando la superficie de ataque explotable. Los atacantes pueden emplear scripts automatizados para atacar simultáneamente múltiples sitios web, convirtiendo esta amenaza en una de alto riesgo y a gran escala. El problema se resolvió en la versión 9.1.2 corrigiendo la función para que se termine correctamente en caso de que la verificación del login_nonce falle. Los parches fueron lanzados el 12 de noviembre (versión Pro) y el 14 de noviembre (versión gratuita).

Recomendaciones

Actualizar a la versión 9.1.2 o superior:

  • Los usuarios Pro deben realizar la actualización manualmente si las actualizaciones automáticas están desactivadas debido a una licencia caducada.
  • Los usuarios de la versión gratuita deben verificar que su sitio haya recibido la actualización forzada desde WordPress.org.

[Callforaction-THREAT-Footer]

In