Descubren Vulnerabilidad Crítica en Plugin de WordPress
¡Atención, administradores de WordPress! Recientemente, se detectó un fallo grave en el plugin Really Simple Security. Este problema podría permitir que un atacante obtenga acceso administrativo al sitio web afectado. Es fundamental que los usuarios actualicen sus sitios a la última versión del plugin para prevenir posibles riesgos.
Detalles de la Vulnerabilidad CVE-2024-10924
De acuerdo con un informe de Wordfence, esta vulnerabilidad impactó a millones de sitios en todo el mundo. La falla, identificada como CVE-2024-10924, consistía en un bypass de autenticación en las versiones del plugin desde la 9.0.0 hasta la 9.1.1.1.
El problema radica en la incorrecta gestión de errores de verificación de usuario en las acciones del API REST de dos factores, específicamente en la función check_login_and_get_user
. El informe menciona:
El principal problema surge porque la función devuelve un error
WP_REST_Response
en caso de fallo, pero no lo maneja adecuadamente. Esto implica que la función continúa su procesamiento, invocandoauthenticate_and_redirect()
, lo que permite autenticar un usuario sin validar su identidad.
Riesgos Asociados con el Acceso No Autenticado
Esta vulnerabilidad recibió una calificación de severidad crítica y un puntaje CVSS de 9.8. Si el usuario tiene habilitada la autenticación de dos factores, un atacante no autenticado podría explotar esta falla. Así, podría iniciar sesión como si fuera un usuario legítimo sin necesidad de contraseñas.
Si un atacante logra acceder a una cuenta de administrador, podría controlar completamente el sitio web objetivo. Curiosamente, el exploit solo ocurre si se encuentra habilitada la autenticación de dos factores, una medida de seguridad ampliamente recomendada.
Actualización Urgente y Respuesta del Equipo de Desarrollo
Después de identificar la vulnerabilidad, Wordfence notificó a los desarrolladores del plugin. En respuesta, estos lanzaron rápidamente una solución en la versión 9.1.2 del plugin. Dado que el plugin cuenta con más de 4 millones de instalaciones activas, fue vital que todos los usuarios aplicaran la actualización de inmediato.
Además, los desarrolladores trabajaron junto al equipo de plugins de WordPress para implementar actualizaciones forzadas en los sitios afectados. Sin embargo, se recomienda encarecidamente que todos los administradores de WordPress verifiquen manualmente sus sitios para asegurar que cuentan con la versión más reciente del plugin.
¿Qué opinas sobre esta situación? Comparte tus comentarios abajo.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.