PT-2024-8207 · WordPress · Really Simple Security
István Márton
·
Publicado
2024-11-06
·
Atualizado
2026-05-16
·
CVE-2024-10924
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Really Simple Security (Free, Pro e Pro Multisite), versões 9.0.0 a 9.1.1.1
Descrição
Os plugins Really Simple Security para WordPress são afetados por uma falha de contorno de autenticação. Isso se deve ao tratamento inadequado de erros de verificação de usuário nas ações da API REST de autenticação de dois fatores com a função
check login and get user. Isso permite que invasores não autenticados façam login como qualquer usuário existente no site, incluindo administradores, quando a configuração “Autenticação de dois fatores” está ativada. Essa vulnerabilidade, identificada como CVE-2024-10924, tem uma pontuação CVSS de 9,8 (Crítica) e afeta mais de 4 milhões de sites WordPress. A vulnerabilidade está sendo ativamente explorada na natureza. Os invasores podem contornar a autenticação de dois fatores e obter acesso administrativo total aos sites vulneráveis. A função check login and get user está envolvida no processo de autenticação.Recomendações
Atualize o Really Simple Security para a versão 9.1.2 ou posterior.
Exploit
Correção
Missing Authentication
Improper Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Really Simple Security