WordPress 熱門外掛爆重大漏洞全球400萬網站恐淪陷

2024 / 11 / 18

編輯部

全球受歡迎的網站架設平台 WordPress 再度爆發重大資安危機。知名安全外掛 Really Simple Security（前身為 Really Simple SSL）近期被發現存在嚴重的身份驗證繞過漏洞，影響範圍超過400萬個使用該外掛的 WordPress 網站。資安研究人員警告，此漏洞可能讓攻擊者在未經授權的情況下，輕易取得網站的最高管理權限。

這個被編號為 CVE-2024-10924 的漏洞，獲得了 CVSS 9.8 的最高危險評分。根據安全研究公司 Wordfence 的技術團隊調查，該漏洞影響該外掛從 9.0.0 到 9.1.1.1 的所有版本，包括免費版和付費版在內。更令人擔憂的是，研究人員指出這個漏洞可被製作成自動化攻擊腳本，可能引發大規模的網站入侵事件。

Wordfence 的資深研究員解釋，CVE-2024-10924漏洞存在於外掛的使用者驗證機制中，特別是在「check_login_and_get_user」這個關鍵函數的處理流程上。當網站啟用二階段驗證功能時，該函數在處理使用者身份驗證時會出現嚴重缺陷，讓攻擊者可以透過精心設計的請求，直接繞過身份驗證機制，以任意使用者的身份登入系統，包括擁有最高權限的管理員帳號。

Really Simple Security 的開發團隊在接獲通報後，立即著手修復這個嚴重漏洞。他們於2024年11月6日收到漏洞通報後，在一週內就推出了修補版本 9.1.2。考慮到漏洞可能被廣泛濫用的風險，開發團隊更與 WordPress 官方合作，啟動了強制更新機制，確保所有使用該外掛的網站都能在漏洞公開前獲得更新。

若網站遭到惡意攻擊者利用此漏洞入侵，後果可能相當嚴重。攻擊者不僅能完全控制受害網站，更可能將這些遭到入侵的網站用於進行進一步的惡意活動，例如散播惡意程式、架設釣魚網站，或是竊取敏感資料。

值得注意的是，這並非近期唯一的 WordPress 相關資安事件。Wordfence 同時披露了另一個影響 WPLMS 學習管理系統的重大漏洞（CVE-2024-10470），同樣獲得了 CVSS 9.8 的高危險評分。該漏洞存在於 4.963 版本之前的系統中，可能允許未經授權的攻擊者讀取和刪除伺服器上的任意檔案。更嚴重的是，攻擊者可能透過刪除關鍵的 wp-config.php 檔案，強制網站進入設定狀態，進而連接到攻擊者控制的資料庫，最終完全接管網站。

為避免網站遭到入侵，WordPress 網站管理員應立即檢查系統中 Really Simple Security 外掛的版本，確保已更新至最新的 9.1.2 版本。同時，也建議定期檢查並更新所有 WordPress 相關元件，包括核心系統、佈景主題和其他外掛，以確保網站的安全性。

本文轉載自thehackernews。

CVE-2024-10924 使用者驗證機制