Hem ücretsiz hem de Pro sürümleri de dahil olmak üzere WordPress eklentisi ‘Gerçekten Basit Güvenlik’i (eski adıyla ‘Gerçekten Basit SSL’) etkileyen kritik bir kimlik doğrulama atlama güvenlik açığı keşfedildi.
Gerçekten Basit Güvenlik, WordPress platformu için SSL yapılandırması, oturum açma koruması, iki faktörlü kimlik doğrulama katmanı ve gerçek zamanlı güvenlik açığı tespiti sunan bir güvenlik eklentisidir. Yalnızca ücretsiz sürümü dört milyondan fazla web sitesinde kullanılıyor.
Kusuru kamuya açıklayan Wordfence, bunu 12 yıllık geçmişinde bildirilen en ciddi güvenlik açıklarından biri olarak nitelendirerek, uzak saldırganların etkilenen sitelere tam yönetim erişimi elde etmesine izin verdiği konusunda uyarıda bulundu.
Daha da kötüsü, kusur otomatik komut dosyaları kullanılarak toplu olarak kullanılabilir ve bu da potansiyel olarak büyük ölçekli web sitesi devralma kampanyalarına yol açabilir.
Wordfence’in, barındırma sağlayıcılarının, müşteri sitelerindeki eklentiyi zorla güncellemelerini ve hiç kimsenin savunmasız bir sürümü çalıştırmadığından emin olmak için veritabanlarını taramasını önerdiği risk budur.
2FA daha zayıf güvenliğe yol açıyor
Söz konusu kritik önem derecesine sahip kusur, Wordfence araştırmacısı István Márton tarafından 6 Kasım 2024’te keşfedilen CVE-2024-10924’tür.
Bunun nedeni, eklentinin iki faktörlü REST API eylemlerinde kullanıcı kimlik doğrulamasının yanlış işlenmesi ve yöneticiler de dahil olmak üzere herhangi bir kullanıcı hesabına yetkisiz erişim sağlanmasıdır.
Özellikle sorun, ‘user_id’ ve ‘login_nonce’ parametrelerini kontrol ederek kullanıcı kimliklerini doğrulayan ‘check_login_and_get_user()’ işlevinde yatmaktadır.
‘login_nonce’ geçersiz olduğunda, istek olması gerektiği gibi reddedilmez, bunun yerine kullanıcının kimliğini yalnızca ‘user_id’ye dayalı olarak doğrulayan ve kimlik doğrulamanın atlanmasına etkili bir şekilde izin veren ‘authenticate_and_redirect()’ işlevini çağırır.
İki faktörlü kimlik doğrulama (2FA) etkinleştirildiğinde bu kusurdan yararlanılabilir ve varsayılan olarak devre dışı bırakılmış olsa da birçok yönetici daha güçlü hesap güvenliği için buna izin verecektir.
CVE-2024-10924, “ücretsiz”, “Pro” ve “Pro Multisite” sürümlerinin 9.0.0’dan 9.1.1.1’e kadar eklenti sürümlerini etkiler.
Geliştirici, kodun artık ‘login_nonce’ doğrulama başarısızlığını doğru şekilde işlemesini sağlayarak ve ‘check_login_and_get_user()’ işlevinden hemen çıkarak bu kusuru giderdi.
Düzeltmeler, eklentinin Pro sürümü için 12 Kasım’da, ücretsiz kullanıcılar için ise 14 Kasım’da yayınlanan 9.1.2 sürümüne uygulandı.
Satıcı, eklentinin kullanıcıları üzerinde zorunlu güvenlik güncellemeleri gerçekleştirmek için WordPress.org ile işbirliği yaptı, ancak web sitesi yöneticilerinin yine de en son sürümü (9.1.2) çalıştırıp çalıştırmadıklarını kontrol etmeleri ve emin olmaları gerekiyor.
Pro sürümünün kullanıcıları, lisansın süresi dolduğunda otomatik güncellemelerini devre dışı bırakır, bu nedenle 9.1.2’yi manuel olarak güncellemeleri gerekir.
Dün itibarıyla, eklentinin ücretsiz sürümünün kurulumunu izleyen WordPress.org istatistik sitesi yaklaşık 450.000 indirme işlemi gerçekleştirerek 3.500.000 sitenin potansiyel olarak kusura maruz kaldığını gösterdi.