WordPress Really Simple Security漏洞CVE-2024-10924

Really Simple Security 旨在提高WordPress网站对漏洞的抵抗力（称为安全强化），启用双因素身份验证，检测漏洞，并生成 SSL 证书。

Really Simple Security宣称其为WordPress真正简单安全、最轻量级和易用的安全插件，通过调整配置和解决潜在的弱点来保持网站安全。

一、基本情况

Really Simple Security插件是WordPress平台广受欢迎的安全插件，提供SSL配置、登录保护、双因素身份验证层和实时漏洞检测等功能。

该插件采用模块化和轻量级的设计方案，允许用户选择启用哪些安全增强功能，便于禁用功能的进程不会加载并减慢网站速度。

栋科技漏洞库关注到WordPress的Really Simple Security插件存在严重身份验证绕过漏洞，漏洞追踪为CVE-2024-10924，CVSS评分9.8。

二、漏洞分析

CVE-2024-10924漏洞源于Really Simple Security插件在处理用户身份验证时候的缺陷，特别是在其双因素认证（2FA）REST API操作中。

具体来说，该漏洞的问题出在插件的“check_login_and_get_user()”函数，这一函数在验证用户身份时没有能正确处理“login_nonce”参数。

当‘login_nonce’无效时系统并未拒绝请求，而是错误地调用‘authenticate_and_redirect()’，仅依据‘user_id’进行身份验证，导致身份绕过。

当启用“双因素身份验证”设置（默认情况下禁用）时，这使得未经身份验证的攻击者能够以网站上任何现有用户身份（例如管理员）登录。

因此，如果该漏洞被成功利用，攻击者将完全获得受影响网站的完全管理权限，远程接管网站管理权限，给用户和企业带来了巨大的风险。

这一漏洞是由Wordfence的研究员István Márton于2024年11月06日发现并披露，并称其为Wordfence 12年历史上报告的最严重漏洞之一。

而安全研究人员之所以如此评价这一漏洞的严重性，在于即使在启用双因素认证的情况下，攻击者也能轻易利用这一漏洞进行大规模攻击。

这一漏洞使得WordPress网站容易受到身份验证绕过的影响，这种漏洞允许攻击者无需提供凭据，即可访问需要用户名和密码的网站区域。

攻击者只需知道用户名即可获得网站任何注册用户访问权限，包括管理员，这比经过身份验证漏洞更易被利用，后者需要先获得用户凭证。

Wordfence警告称，攻击者可使用自动化脚本批量利用此漏洞可能导致大规模网站接管事件，过去24小时内已阻止310次针对此漏洞攻击。

该插件的开发者分别在2024年11月12日和14日针对Pro版和免费版发布了修复补丁，确保代码能够正确处理‘login_nonce’验证失败的情况。

同时开发者也与WordPress.org协调进行了强制安全更新，但网站管理员仍需检查并确保其运行最新版本，确保网站免受潜在的安全威胁。

三、漏洞影响

9.0.0 >= WordPress Really Simple Security <= 9.1.1.1

四、修复建议

WordPress Really Simple Security >= 9.1.2

五、参考链接

https://wordpress.org/support/plugin/really-simple-ssl/