Lỗ hổng bảo mật ảnh hưởng 4 triệu website WordPress
Theo Wordfence, lỗ hổng được gán mã nhận dạng CVE-2024-10924 với mức độ nghiêm trọng lên đến 9,8 theo thang điểm CVSS (tối đa là 10) nằm trong phần mở rộng (plugin) Really Simple Security ở cả ba phiên bản miễn phí và trả phí từ 9.0.0 đến 9.1.1.1. Tiện ích Really Simple Security trước đây là Really Simple SSL rất nổi tiếng khi có đến hơn 4 triệu website WordPress đang cài và sử dụng.
Really Simple Security là plugin bảo mật nhẹ và dễ sử dụng, giúp bảo mật trang web WordPress bằng cách tạo chứng chỉ SSL, thực thi chuyển hướng đến kết nối bảo mật https, quét các lỗ hổng có thể xảy ra, bảo vệ đăng nhập... Phiên bản có trả phí được bán với giá từ 49 USD/năm với các tính năng như tường lửa, bảo vệ khách khỏi các tác nhân nguy hiểm...
Wordfence mô tả lỗ hổng CVE-2024-10924 cho phép tin tặc vượt qua xác thực và chiếm quyền truy cập tài khoản gồm cả quản trị viên khi tính năng "Two-Factor Authentication" được kích hoạt. Điểm nguy hiểm ở việc lỗ hổng có thể bị khai thác trên quy mô lớn do khả năng tự động hóa tấn công.
Wordfence đã triển khai tường lửa bảo vệ từ ngày 6.11.2024 cho người dùng trả phí và sẽ mở rộng cho người dùng miễn phí vào ngày 6.12.2024. Các website WordPress đang sử dụng plugin Really Simple Security cần cập nhật lên phiên bản 9.1.2 sớm nhất có thể, các nhà cung cấp dịch vụ lưu trữ cũng cần tự động cập nhật plugin cho khách hàng và quét hệ thống lưu trữ để phát hiện các phiên bản dễ bị tấn công.
Leave a Comment