WordPress 安全警告：四百万网站面临重大风险

关键要点

• 超过四百万个 WordPress 网站可能因一个严重的认证绕过漏洞而受到完全入侵。
• 该漏洞存在于 Really Simple Security 插件中，编号为 CVE-2024-10924。
• 恶意攻击者可利用此漏洞对高权限账户进行攻击，从而发起针对其他目标的攻击。
• 建议管理员确保其网站使用最新的 Really Simple Security 版本 9.1.2。

根据 的报告，超过四百万个 WordPress 网站可能因 Really Simple Security 插件中的一个严重认证绕过缺陷而完全被攻陷。该漏洞被追踪为 CVE-2024-10924。

补充说明 ：根据 WordPress 安全服务提供商 Defiant 的说法，恶意攻击者可以利用此漏洞，这源于在两因素 REST API操作中不当的用户检查错误管理。这种错误管理缺失允许基于 ID的认证，使得攻击者可以越过认证，获取运行该插件漏洞版本的任意账户的访问权。此外，网站管理员被敦促确保其网站已更新至 Really SimpleSecurity 的 9.1.2 版本。此版本已经在插件维护者发布针对 Pro 和 Free 版本的独立补丁后，自动由 WordPress 部署。

漏洞影响

解决方案

• 确保更新到最新版本的 Really Simple Security 插件。
• 定期检查网站的安全性，确保不使用过时或漏洞插件。

此漏洞的存在给网站管理员敲响了警钟，强调了定期更新和执行安全审查的重要性。避免成为下一个受害者，请尽快采取措施保护网站安全。