歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
WordPress 熱門外掛爆重大漏洞 全球400萬網站恐淪陷
2024 / 11 / 18
編輯部
全球受歡迎的網站架設平台 WordPress 再度爆發重大資安危機。知名安全外掛 Really Simple Security(前身為 Really Simple SSL)近期被發現存在嚴重的身份驗證繞過漏洞,影響範圍超過400萬個使用該外掛的 WordPress 網站。資安研究人員警告,此漏洞可能讓攻擊者在未經授權的情況下,輕易取得網站的最高管理權限。
這個被編號為 CVE-2024-10924 的漏洞,獲得了 CVSS 9.8 的最高危險評分。根據安全研究公司 Wordfence 的技術團隊調查,
該漏洞影響該外掛從 9.0.0 到 9.1.1.1 的所有版本
,包括免費版和付費版在內。更令人擔憂的是,研究人員指出這個漏洞可被製作成自動化攻擊腳本,可能引發大規模的網站入侵事件。
Wordfence 的資深研究員解釋,CVE-2024-10924漏洞存在於外掛的使用者驗證機制中,特別是在「check_login_and_get_user」這個關鍵函數的處理流程上。當網站啟用二階段驗證功能時,該函數在處理使用者身份驗證時會出現嚴重缺陷,讓攻擊者可以透過精心設計的請求,直接繞過身份驗證機制,以任意使用者的身份登入系統,包括擁有最高權限的管理員帳號。
Really Simple Security 的開發團隊在接獲通報後,立即著手修復這個嚴重漏洞。他們於2024年11月6日收到漏洞通報後,在一週內就推出了修補版本 9.1.2。考慮到漏洞可能被廣泛濫用的風險,開發團隊更與 WordPress 官方合作,啟動了強制更新機制,確保所有使用該外掛的網站都能在漏洞公開前獲得更新。
若網站遭到惡意攻擊者利用此漏洞入侵,後果可能相當嚴重。攻擊者不僅能完全控制受害網站,更可能將這些遭到入侵的網站用於進行進一步的惡意活動,例如散播惡意程式、架設釣魚網站,或是竊取敏感資料。
值得注意的是,這並非近期唯一的 WordPress 相關資安事件。
Wordfence 同時披露了另一個影響 WPLMS 學習管理系統的重大漏洞(CVE-2024-10470)
,同樣獲得了 CVSS 9.8 的高危險評分。該漏洞存在於 4.963 版本之前的系統中,可能允許未經授權的攻擊者讀取和刪除伺服器上的任意檔案。更嚴重的是,攻擊者可能透過刪除關鍵的 wp-config.php 檔案,強制網站進入設定狀態,進而連接到攻擊者控制的資料庫,最終完全接管網站。
為避免網站遭到入侵,WordPress 網站管理員應立即檢查系統中 Really Simple Security 外掛的版本,確保已更新至最新的 9.1.2 版本。同時,也建議定期檢查並更新所有 WordPress 相關元件,包括核心系統、佈景主題和其他外掛,以確保網站的安全性。
本文轉載自thehackernews。
CVE-2024-10924
使用者驗證機制
最新活動
2025.03.28
2025 OT資安年會
2025.04.10
2025 南科資安論壇
2025.03.28
【資安學院】3/28個資法令概況與實務 —一次搞懂個人資料檔案安全維護計畫
看更多活動
大家都在看
美國NIST發布差分隱私規範,提升資料防護
新型SuperBlack勒索軟體利用Fortinet身份驗證漏洞攻擊
AI 與半導體資安將有新突破! 資策會與DEKRA德凱簽署戰略合作
資安署25年2月資安月報:駭客假冒財政部發動社交工程攻擊及冒牌軟體威脅增加
Black Basta勒索軟體組織開發自動化暴力破解工具攻擊企業VPN
資安人科技網
文章推薦
以Security-First網路基礎架構打造製造業的安全基石
報告:醫療產業頻繁支付贖金的做法助長駭客持續發動攻擊
GSM協會採用點對點加密機制,實現跨平台安全通訊