یک آسیبپذیری حیاتی عبور از احراز هویت در پلاگین Really Simple Security (Really Simple SSL سابق) وردپرس فاش شده است که در صورت اکسپلویت موفقیتآمیز، امکان کنترل مدیریتی کامل از راه دور به سایت آسیبپذیر را برای مهاجم فراهم میکند.
آسیبپذیری با شناسه CVE-2024-10924 (امتیاز CVSS: 9.8)، بر نسخههای رایگان و پریمیوم پلاگین تأثیر میگذارد. این نرمافزار بر روی بیش از 4 میلیون سایت وردپرس نصب شده است. محقق امنیتی Wordfence گفت: «این آسیبپذیری قابل اسکریپت است، به این معنی که میتواند به یک حمله خودکار در مقیاس بزرگ تبدیل شود و وبسایتهای وردپرس را هدف قرار دهد». این نقص که نسخههای 9.0.0 تا 9.1.1.1 را تحت تاثیر قرار میدهد در نسخه 9.1.2 وصله شده است.
Wordfence این نقص را یکی از شدیدترین آسیبپذیریهای گزارش شده در تاریخ 12 ساله خود نامید و هشدار داد که امکان دسترسی مدیریتی کامل به سایتهای آسیبپذیر را برای مهاجمان راه دور فراهم میکند. این نقص میتواند به طور انبوه با استفاده از اسکریپتهای خودکار اکسپلویت شود و به طور بالقوه منجر به کمپینهای تصاحب وب سایت در مقیاس بزرگ میشود.
https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/
https://thehackernews.com/2024/11/urgent-critical-wordpress-plugin.html
