https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

新聞

WordPress 熱門外掛爆重大漏洞 全球400萬網站恐淪陷

2024 / 11 / 18
編輯部
WordPress 熱門外掛爆重大漏洞 全球400萬網站恐淪陷
全球受歡迎的網站架設平台 WordPress 再度爆發重大資安危機。知名安全外掛 Really Simple Security(前身為 Really Simple SSL)近期被發現存在嚴重的身份驗證繞過漏洞,影響範圍超過400萬個使用該外掛的 WordPress 網站。資安研究人員警告,此漏洞可能讓攻擊者在未經授權的情況下,輕易取得網站的最高管理權限。

這個被編號為 CVE-2024-10924 的漏洞,獲得了 CVSS 9.8 的最高危險評分。根據安全研究公司 Wordfence 的技術團隊調查,該漏洞影響該外掛從 9.0.0 到 9.1.1.1 的所有版本,包括免費版和付費版在內。更令人擔憂的是,研究人員指出這個漏洞可被製作成自動化攻擊腳本,可能引發大規模的網站入侵事件。

Wordfence 的資深研究員解釋,CVE-2024-10924漏洞存在於外掛的使用者驗證機制中,特別是在「check_login_and_get_user」這個關鍵函數的處理流程上。當網站啟用二階段驗證功能時,該函數在處理使用者身份驗證時會出現嚴重缺陷,讓攻擊者可以透過精心設計的請求,直接繞過身份驗證機制,以任意使用者的身份登入系統,包括擁有最高權限的管理員帳號。

Really Simple Security 的開發團隊在接獲通報後,立即著手修復這個嚴重漏洞。他們於2024年11月6日收到漏洞通報後,在一週內就推出了修補版本 9.1.2。考慮到漏洞可能被廣泛濫用的風險,開發團隊更與 WordPress 官方合作,啟動了強制更新機制,確保所有使用該外掛的網站都能在漏洞公開前獲得更新。

若網站遭到惡意攻擊者利用此漏洞入侵,後果可能相當嚴重。攻擊者不僅能完全控制受害網站,更可能將這些遭到入侵的網站用於進行進一步的惡意活動,例如散播惡意程式、架設釣魚網站,或是竊取敏感資料。

值得注意的是,這並非近期唯一的 WordPress 相關資安事件。Wordfence 同時披露了另一個影響 WPLMS 學習管理系統的重大漏洞(CVE-2024-10470),同樣獲得了 CVSS 9.8 的高危險評分。該漏洞存在於 4.963 版本之前的系統中,可能允許未經授權的攻擊者讀取和刪除伺服器上的任意檔案。更嚴重的是,攻擊者可能透過刪除關鍵的 wp-config.php 檔案,強制網站進入設定狀態,進而連接到攻擊者控制的資料庫,最終完全接管網站。

為避免網站遭到入侵,WordPress 網站管理員應立即檢查系統中 Really Simple Security 外掛的版本,確保已更新至最新的 9.1.2 版本。同時,也建議定期檢查並更新所有 WordPress 相關元件,包括核心系統、佈景主題和其他外掛,以確保網站的安全性。

本文轉載自thehackernews。