Selon Wordfence , la vulnérabilité, identifiée CVE-2024-10924 et d'un niveau de gravité allant jusqu'à 9,8 sur l'échelle CVSS (maximum 10), se trouve dans l'extension (plugin) Really Simple Security, disponible dans les trois versions gratuites et payantes, de 9.0.0 à 9.1.1.1. L'extension Really Simple Security, anciennement Really Simple SSL, est très populaire : plus de 4 millions de sites web WordPress l'installent et l'utilisent.
Really Simple Security est un plugin de sécurité léger et facile à utiliser qui aide à sécuriser les sites Web WordPress en générant des certificats SSL, en appliquant des redirections vers des connexions https sécurisées, en recherchant d'éventuelles vulnérabilités, en protégeant les connexions... La version payante est vendue 49 $/an avec des fonctionnalités telles que le pare-feu, la protection des visiteurs contre les agents malveillants...
Le célèbre plugin de sécurité WordPress vient de présenter une faille de sécurité très grave
Wordfence décrit une vulnérabilité CVE-2024-10924 qui permet aux pirates de contourner l'authentification et d'accéder à des comptes, y compris ceux des administrateurs, lorsque la fonctionnalité « Authentification à deux facteurs » est activée. Le danger réside dans le fait que cette vulnérabilité peut être exploitée à grande échelle grâce à la possibilité d'automatiser les attaques.
Wordfence a déployé une protection pare-feu depuis le 6 novembre 2024 pour les utilisateurs payants et s'étendra aux utilisateurs gratuits le 6 décembre 2024. Les sites Web WordPress utilisant le plugin Really Simple Security doivent être mis à jour vers la version 9.1.2 dès que possible, les fournisseurs d'hébergement doivent également mettre à jour automatiquement le plugin pour les clients et analyser leurs systèmes d'hébergement pour les versions vulnérables.
Source : https://thanhnien.vn/lo-hong-bao-mat-anh-huong-4-trieu-website-wordpress-185241116130652154.htm
Comment (0)