Falha crítica em plugin de segurança expõe milhões de sites WordPress a ataques

A vulnerabilidade CVE-2024-10924 foi identificada no plugin de segurança “Really Simple Security”, afetando tanto a versão gratuita quanto a versão Pro. A falha permite que invasores remotos obtenham acesso administrativo total aos sites vulneráveis. O plugin, que oferece recursos como configuração SSL, proteção de login e autenticação de dois fatores, é amplamente utilizado, com mais de 4 milhões de instalações somente na versão gratuita.

O Wordfence, responsável por divulgar a vulnerabilidade, classificou-a como uma das mais graves relatadas em seus 12 anos de atuação. A falha pode ser explorada em larga escala por meio de scripts automatizados, abrindo caminho para campanhas massivas de invasão. Para mitigar os riscos, o Wordfence sugere que provedores de hospedagem forcem a atualização do plugin nos sites de clientes e realizem varreduras em seus bancos de dados para garantir que versões vulneráveis não estejam em uso.

O problema reside na manipulação inadequada da autenticação do usuário nas ações da API REST relacionadas à autenticação de dois fatores. Especificamente, a função check_login_and_get_user() não rejeita solicitações com o parâmetro login_nonce inválido, permitindo que a função authenticate_and_redirect() autentique usuários apenas com base no user_id. Essa falha possibilita o desvio de autenticação, afetando especialmente sites com autenticação de dois fatores ativada.

A vulnerabilidade impacta as versões 9.0.0 até 9.1.1.1 do plugin. O problema foi corrigido na versão 9.1.2. Recomenda-se aplicar a atualização imediatamente.