19/11/2024
IT-Connect » Actualités » Actu Cybersécurité » WordPress : une faille critique dans l’extension Really Simple Security expose 4 millions de sites Web

WordPress - Really Simple Security - CVE-2024-10924
Actu CybersécuritéWeb

WordPress : une faille critique dans l’extension Really Simple Security expose 4 millions de sites Web

Florian BURNEL 0 commentaire

Si vous utilisez WordPress et plus particulièrement l'extension Really Simple Security, vous devez installer en urgence la dernière mise à jour. Une faille de sécurité critique a été corrigée ! Elle met en péril des millions de sites web....

La vulnérabilité traquée en tant que CVE-2024-10924 et associée à un score CVSS de 9.8 sur 10 est présente dans l'extension Really Simple Security pour WordPress. Anciennement appelée Really Simple SSL, cette extension utilisée par plus de 4 millions de sites WordPress a pour objectif de renforcer la sécurité du site via plusieurs fonctionnalités (authentification MFA, protection des connexions, etc.).

La nouvelle faille de sécurité découverte dans cette extension affecte aussi bien la version gratuite que la version premium "Pro" de Really Simple Security. Elle est particulièrement dangereuse, comme l'explique un chercheur en sécurité de chez Wordfence : "La vulnérabilité est scriptable, ce qui signifie qu'elle peut être transformée en une attaque automatisée à grande échelle, ciblant les sites web WordPress."

En exploitant cette vulnérabilité présente dans la fonction appelée "check_login_and_get_user", un attaquant peut s'authentifier en tant que n'importe quel utilisateur du site, y compris en tant qu'administrateur, lorsque le MFA est activé et configuré. L'authentification multifacteurs, recommandée pour mieux protéger ses comptes, est ici une faiblesse lorsqu'une version vulnérable de l'extension est utilisée.

In fine, vous l'aurez compris, l'exploitation de cette vulnérabilité peut permettre de prendre le contrôle total d'un site WordPress.

Qui est vulnérable ? Comment se protéger ?

Les développeurs de Really Simple Security, informés de l'existence de cette vulnérabilité le 6 novembre 2024, ont publié deux correctifs quelques jours plus tard :

  • Le 12 novembre 2024 pour la version Pro
  • Le 14 novembre 2024 pour la version gratuite
Source : Wordfence

Cette faille de sécurité est présente dans les versions 9.0.0 à 9.1.1.1 de l'extension Really Simple Security. Pour vous protéger, vous devez donc mettre à jour l'extension vers la version 9.1.2.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Patch Tuesday – Octobre 2021 : 81 vulnérabilités corrigées et 4 zero-day

Florian BURNEL 0

OpenSSH : Une faille critique corrigée

Florian BURNEL 0
Les vulnérabilités les plus exploitées en 2022

La CISA, la NSA et le FBI publient la liste des vulnérabilités les plus exploitées en 2022

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.