歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
WordPress 熱門外掛爆重大漏洞 全球400萬網站恐淪陷
2024 / 11 / 18
編輯部
全球受歡迎的網站架設平台 WordPress 再度爆發重大資安危機。知名安全外掛 Really Simple Security(前身為 Really Simple SSL)近期被發現存在嚴重的身份驗證繞過漏洞,影響範圍超過400萬個使用該外掛的 WordPress 網站。資安研究人員警告,此漏洞可能讓攻擊者在未經授權的情況下,輕易取得網站的最高管理權限。
這個被編號為 CVE-2024-10924 的漏洞,獲得了 CVSS 9.8 的最高危險評分。根據安全研究公司 Wordfence 的技術團隊調查,
該漏洞影響該外掛從 9.0.0 到 9.1.1.1 的所有版本
,包括免費版和付費版在內。更令人擔憂的是,研究人員指出這個漏洞可被製作成自動化攻擊腳本,可能引發大規模的網站入侵事件。
Wordfence 的資深研究員解釋,CVE-2024-10924漏洞存在於外掛的使用者驗證機制中,特別是在「check_login_and_get_user」這個關鍵函數的處理流程上。當網站啟用二階段驗證功能時,該函數在處理使用者身份驗證時會出現嚴重缺陷,讓攻擊者可以透過精心設計的請求,直接繞過身份驗證機制,以任意使用者的身份登入系統,包括擁有最高權限的管理員帳號。
Really Simple Security 的開發團隊在接獲通報後,立即著手修復這個嚴重漏洞。他們於2024年11月6日收到漏洞通報後,在一週內就推出了修補版本 9.1.2。考慮到漏洞可能被廣泛濫用的風險,開發團隊更與 WordPress 官方合作,啟動了強制更新機制,確保所有使用該外掛的網站都能在漏洞公開前獲得更新。
若網站遭到惡意攻擊者利用此漏洞入侵,後果可能相當嚴重。攻擊者不僅能完全控制受害網站,更可能將這些遭到入侵的網站用於進行進一步的惡意活動,例如散播惡意程式、架設釣魚網站,或是竊取敏感資料。
值得注意的是,這並非近期唯一的 WordPress 相關資安事件。
Wordfence 同時披露了另一個影響 WPLMS 學習管理系統的重大漏洞(CVE-2024-10470)
,同樣獲得了 CVSS 9.8 的高危險評分。該漏洞存在於 4.963 版本之前的系統中,可能允許未經授權的攻擊者讀取和刪除伺服器上的任意檔案。更嚴重的是,攻擊者可能透過刪除關鍵的 wp-config.php 檔案,強制網站進入設定狀態,進而連接到攻擊者控制的資料庫,最終完全接管網站。
為避免網站遭到入侵,WordPress 網站管理員應立即檢查系統中 Really Simple Security 外掛的版本,確保已更新至最新的 9.1.2 版本。同時,也建議定期檢查並更新所有 WordPress 相關元件,包括核心系統、佈景主題和其他外掛,以確保網站的安全性。
本文轉載自thehackernews。
CVE-2024-10924
使用者驗證機制
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
資安人科技網
文章推薦
Sophos:「數位殘餘」讓企業暴露於網路邊緣設備攻擊風險中
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅