Vulnerabilidad crítica en los complementos Really Simple Security para WordPress

WordPress es un sistema de gestión de contenidos ampliamente utilizado para la creación y administración de sitios web. La plataforma cuenta con diversos complementos que amplían sus funcionalidades, como los desarrollados por Really Simple Plugins. Recientemente, se identificó una vulnerabilidad en los complementos Really Simple Security en sus versiones Free, Pro y Pro Multisite, que podría comprometer la seguridad de los sitios web afectados.

  • CVE-2024-10924 (CVSS 9.8): Esta vulnerabilidad de tipo omisión de autenticación mediante una ruta o canal alternativo se manifiesta en los complementos Really Simple Security debido a un manejo inadecuado de los errores de verificación de usuario en las acciones de la API REST relacionadas con la autenticación de dos factores. En concreto, el problema radica en la función check_login_and_get_user, que permite a atacantes no autenticados iniciar sesión como cualquier usuario existente, incluyendo administradores, cuando está habilitada la opción de «Autenticación de dos factores».

Productos y versiones afectadas:

  • Really Simple Security Free, versiones desde la 9.0.0 hasta la 9.1.1.1.
  • Really Simple Security Pro, versiones desde la 9.0.0 hasta la 9.1.1.1.
  • Really Simple Security Pro Multisite, versiones desde la 9.0.0 hasta la 9.1.1.1.

Solución:

  •  Actualizar el complemento a la versión 9.1.2.

Recomendaciones:

  • Implementar la actualización del complemento de inmediato para mitigar el riesgo de explotación.
  • Revisar los registros de acceso al sitio web para detectar posibles actividades sospechosas.
  • Configurar adecuadamente las opciones de autenticación de dos factores y deshabilitar las funciones innecesarias mientras se aplican las actualizaciones.

Referencias: