Eskiden “Gerçekten Basit SSL” olarak bilinen popüler “Gerçekten Basit Güvenlik” WordPress eklentisinde, 4 milyondan fazla web sitesini riske atan kritik bir güvenlik açığı keşfedildi.
CVE-2024-10924 olarak tanımlanan kusur, eklentiyi kullanan web sitelerini olası uzaktan saldırılara maruz bırakarak tehdit aktörlerinin yetkisiz yönetim erişimi elde etmesine olanak tanıyor.
Güvenlik Açığı Genel Bakış
Güvenlik açığı, Pro ve Pro Multisite sürümleri de dahil olmak üzere Simple Security eklentisinin 9.0.0 ile 9.1.1.1 arasındaki sürümlerini etkiliyor.
Kimlik doğrulama atlama kusurundan yararlanan saldırganlar, “İki Faktörlü Kimlik Doğrulama” özelliği etkinse, yönetici hesapları da dahil olmak üzere herhangi bir kullanıcı hesabına uzaktan erişebilir.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Kusur, eklentinin iki faktörlü REST API işlevlerinde kullanıcı doğrulamasının hatalı işlenmesinden kaynaklanıyor.
Bu güvenlik sorunu, CVSS’nin “Kritik” olarak sınıflandırılan 9,8’lik yüksek puanı nedeniyle özellikle endişe vericidir.
Güvenlik açığı, saldırganların ayrıcalıklı hesaplara erişmesine ve etkilenen web sitelerinin tam kontrolünü ele geçirmesine olanak tanıyor.
Bu kusurdan yararlanan büyük ölçekli bir otomatik saldırı, potansiyel olarak dünya çapında milyonlarca WordPress sitesini hedef alabilir.
Sorunun 6 Kasım 2024’te tanımlanmasının ardından Wordfence Threat Intelligence, güvenlik açığını gidermek için eklentinin satıcısıyla yakın işbirliği içinde çalışmaya başladı.
Geliştirici hemen yanıt verdi ve eklentinin yamalı bir sürümü (9.1.2) 14 Kasım 2024’te yayınlandı.
WordPress.org eklenti ekibi ayrıca eklentiyi kullanan çoğu sitenin otomatik olarak güvenli sürüme güncellenmesini sağlamak için zorunlu bir güncelleme başlattı.
Ancak site sahiplerinin, eklentilerinin 9.1.2 veya daha yüksek bir sürüme güncellendiğini manuel olarak doğrulamaları önemle tavsiye edilir. Eski sürümleri çalıştıran web siteleri potansiyel saldırılara karşı savunmasız olmaya devam ediyor.
4 milyondan fazla web sitesi hâlâ bu önemli eklentiyi kullanıyorken, site yöneticilerinin WordPress kurulumlarını kontrol etmeleri ve güncellemeyi hemen uygulamaları isteniyor.
Ayrıca, otomatik güncelleme etkin olmayan Pro ve Pro Multisite sürümlerinin kullanıcıları, sitelerinin güvenliğini sağlamak için en son yamayı manuel olarak yüklemelidir.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.