歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
WordPress 熱門外掛爆重大漏洞 全球400萬網站恐淪陷
2024 / 11 / 18
編輯部
全球受歡迎的網站架設平台 WordPress 再度爆發重大資安危機。知名安全外掛 Really Simple Security(前身為 Really Simple SSL)近期被發現存在嚴重的身份驗證繞過漏洞,影響範圍超過400萬個使用該外掛的 WordPress 網站。資安研究人員警告,此漏洞可能讓攻擊者在未經授權的情況下,輕易取得網站的最高管理權限。
這個被編號為 CVE-2024-10924 的漏洞,獲得了 CVSS 9.8 的最高危險評分。根據安全研究公司 Wordfence 的技術團隊調查,
該漏洞影響該外掛從 9.0.0 到 9.1.1.1 的所有版本
,包括免費版和付費版在內。更令人擔憂的是,研究人員指出這個漏洞可被製作成自動化攻擊腳本,可能引發大規模的網站入侵事件。
Wordfence 的資深研究員解釋,CVE-2024-10924漏洞存在於外掛的使用者驗證機制中,特別是在「check_login_and_get_user」這個關鍵函數的處理流程上。當網站啟用二階段驗證功能時,該函數在處理使用者身份驗證時會出現嚴重缺陷,讓攻擊者可以透過精心設計的請求,直接繞過身份驗證機制,以任意使用者的身份登入系統,包括擁有最高權限的管理員帳號。
Really Simple Security 的開發團隊在接獲通報後,立即著手修復這個嚴重漏洞。他們於2024年11月6日收到漏洞通報後,在一週內就推出了修補版本 9.1.2。考慮到漏洞可能被廣泛濫用的風險,開發團隊更與 WordPress 官方合作,啟動了強制更新機制,確保所有使用該外掛的網站都能在漏洞公開前獲得更新。
若網站遭到惡意攻擊者利用此漏洞入侵,後果可能相當嚴重。攻擊者不僅能完全控制受害網站,更可能將這些遭到入侵的網站用於進行進一步的惡意活動,例如散播惡意程式、架設釣魚網站,或是竊取敏感資料。
值得注意的是,這並非近期唯一的 WordPress 相關資安事件。
Wordfence 同時披露了另一個影響 WPLMS 學習管理系統的重大漏洞(CVE-2024-10470)
,同樣獲得了 CVSS 9.8 的高危險評分。該漏洞存在於 4.963 版本之前的系統中,可能允許未經授權的攻擊者讀取和刪除伺服器上的任意檔案。更嚴重的是,攻擊者可能透過刪除關鍵的 wp-config.php 檔案,強制網站進入設定狀態,進而連接到攻擊者控制的資料庫,最終完全接管網站。
為避免網站遭到入侵,WordPress 網站管理員應立即檢查系統中 Really Simple Security 外掛的版本,確保已更新至最新的 9.1.2 版本。同時,也建議定期檢查並更新所有 WordPress 相關元件,包括核心系統、佈景主題和其他外掛,以確保網站的安全性。
本文轉載自thehackernews。
CVE-2024-10924
使用者驗證機制
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
資安人科技網
文章推薦
Winos4.0透過遊戲應用程式傳播發起威脅活動
SmokeLoader惡意程式瞄準台灣製造業與資訊科技業
2024台灣資安通報應變年會:資安長高峰論壇 聚焦威脅應變與跨域協作