WordPressで人気の自動SSL化 プラグイン Really Simple Securityで重大な脆弱性(CVE-2024-10924)
WordPressで人気の自動 SSL化 プラグイン「Really Simple Security (旧称 Really Simple SSL) 」で重大な脆弱性(CVE-2024-10924)が発生しており、最新のバージョンへアップデートする事をお勧めします。
脆弱性の対処法
バージョン9.1.2へアップデート
2024年 11 月 14 日に Really Simple Security Free の完全パッチ バージョン 9.1.2 がリリースされ、強制更新が開始されています。
Really Simple Securityは世界中で400万以上のサイトに利用されており、影響範囲が広い脆弱性になります。
脆弱性 CVE-2024-10924の概要
WordPress 用の Really Simple Security (プラン:Free、Pro、Pro Multisite) プラグインは、バージョン 9.0.0 から 9.1.1.1 で認証バイパスの脆弱性が発生しています。
これは、’check_login_and_get_user’ 関数を使用した 2 要素 REST API アクションでのユーザー チェック エラー処理が不適切であるために発生します。
これにより、「2 要素認証」設定が有効になっている場合 (デフォルトでは無効)、認証されていない攻撃者がサイト上の既存のユーザー (管理者など) としてログインできるようになります。