Según Wordfence , la vulnerabilidad, identificada como CVE-2024-10924 y con un nivel de gravedad de hasta 9.8 en la escala CVSS (máximo 10), se encuentra en la extensión (plugin) Really Simple Security en sus tres versiones, tanto gratuitas como de pago, desde la 9.0.0 hasta la 9.1.1.1. La extensión Really Simple Security, anteriormente Really Simple SSL, es muy popular, con más de 4 millones de sitios web de WordPress que la instalan y la utilizan.
Really Simple Security es un complemento de seguridad liviano y fácil de usar que ayuda a proteger los sitios web de WordPress generando certificados SSL, imponiendo redirecciones a conexiones https seguras, escaneando en busca de posibles vulnerabilidades, protegiendo inicios de sesión... La versión paga se vende por $49/año con funciones como firewall, protegiendo a los visitantes de agentes maliciosos...
El famoso complemento de seguridad de WordPress acaba de sufrir una falla de seguridad muy grave
Wordfence describe una vulnerabilidad CVE-2024-10924 que permite a los hackers eludir la autenticación y acceder a cuentas, incluidas las de administrador, cuando la función de autenticación de dos factores está habilitada. El peligro reside en que esta vulnerabilidad puede explotarse a gran escala gracias a la capacidad de automatizar ataques.
Wordfence ha implementado protección de firewall desde el 6 de noviembre de 2024 para usuarios pagos y se expandirá a usuarios gratuitos el 6 de diciembre de 2024. Los sitios web de WordPress que usan el complemento Really Simple Security deben actualizarse a la versión 9.1.2 lo antes posible, los proveedores de alojamiento también deben actualizar automáticamente el complemento para los clientes y escanear sus sistemas de alojamiento en busca de versiones vulnerables.
[anuncio_2]
Fuente: https://thanhnien.vn/lo-hong-bao-mat-anh-huong-4-trieu-website-wordpress-185241116130652154.htm
Kommentar (0)