CVE-2024-10924 è una vulnerabilità critica che interessa il plugin Really Simple Security per WordPress, inclusi sia la versione gratuita sia quella Pro. Con oltre quattro milioni di installazioni attive, questo plugin offre configurazione SSL, protezione dell’accesso, autenticazione a due fattori (2FA) e rilevamento in tempo reale delle vulnerabilità. Scoperta da Wordfence il 6 novembre 2024, la falla compromette i processi di autenticazione, consentendo agli attaccanti di aggirare le misure di sicurezza e ottenere pieno accesso amministrativo ai siti web interessati.

Riassunto tecnico

La vulnerabilità deriva da una gestione impropria del parametro login_nonce nelle azioni REST API per l’autenticazione a due fattori del plugin. Quando questo valore è invalido, il processo di autenticazione ricade sull’utilizzo del solo parametro user_id, consentendo di fatto un accesso non autorizzato.
La falla interessa le versioni del plugin dalla 9.0.0 alla 9.1.1.1, comprese le edizioni gratuita, Pro e Pro Multisite. Sebbene la 2FA sia disabilitata di default, molti amministratori la attivano per rafforzare la sicurezza — ironicamente aumentando la superficie d’attacco sfruttabile. Gli aggressori possono impiegare script automatizzati per colpire simultaneamente più siti web, rendendo questa minaccia ad alto rischio e su larga scala.
Il problema è stato risolto nella versione 9.1.2 correggendo la funzione affinché venga terminata correttamente in caso di verifica fallita del login_nonce. Le patch sono state rilasciate il 12 novembre (versione Pro) e il 14 novembre (versione gratuita).

Raccomandazioni

Aggiornare alla versione 9.1.2 o successiva:

• Gli utenti Pro devono eseguire l’aggiornamento manuale se gli aggiornamenti automatici sono disattivati a causa di una licenza scaduta.
• Gli utenti della versione gratuita devono verificare che il proprio sito abbia ricevuto l’aggiornamento forzato da WordPress.org.