¿Qué es CVE-2024-10924?

Un bypass de autenticación en el plugin Really Simple Security (antes Really Simple SSL) que afecta a las versiones 9.0.0 a 9.1.1.1. Cuando la autenticación de doble factor estaba habilitada, un fallo lógico en el handler de login de usuario de la REST API permitía a un atacante no autenticado suplantar a cualquier usuario, incluidos los administradores.

¿Cuántos sitios se vieron afectados?

Really Simple Security tiene aproximadamente cuatro millones de instalaciones activas. La ruta de código vulnerable estaba activa solo cuando 2FA estaba habilitada en el plugin, pero el rango parcheado cubrió cada instalación que se actualizó durante esa ventana.

Parcheé tras la divulgación. ¿Fue suficiente?

Patching closes the door for new attempts. It does not undo a successful intrusion. If the site was vulnerable for any window after public disclosure in November 2024, treat it as compromised until you have verified there are no sleeper admins, no unfamiliar files, and no autoloaded options that you didn't create.

¿Qué hacen los atacantes tras un login exitoso?

Manual estándar: crear un admin durmiente, plantar un backdoor en un archivo de plugin o tema, dejar un web shell en wp-content/uploads/, e instalar un plugin malicioso o activar uno ya instalado. El sitio sigue funcionando con normalidad; el atacante vuelve más tarde.

// CVE-2024-10924 · AUTH BYPASS · 4M SITIOS

Really Simple Security cleanup.

Bypass de autenticación en Really Simple Security (CVE-2024-10924). 4M de sitios. Limpieza manual. Tarifa plana $279.

Iniciar limpieza → Sobre el bug

§ 01 — EN QUÉ CONSISTÍA EL BUG

Bypass de autenticación vía el endpoint REST de 2FA.

Really Simple Security exponía una ruta REST utilizada para completar su flujo de login con doble factor. El handler aceptaba un user_id desde la petición y autenticaba al llamante como ese usuario sin verificar que hubiera superado el primer factor. Un atacante no autenticado podía pedir user_id=1 y quedar logueado como el administrador del sitio.

Versiones afectadas: 9.0.0 a 9.1.1.1. Parcheado en 9.1.2. La ruta de código vulnerable estaba activa cuando la funcionalidad 2FA del plugin estaba habilitada — pero la versión parcheada se distribuyó como auto-actualización forzada, y la divulgación fue pública, así que la actividad de ataque empezó de inmediato.

§ 02 — INDICADORES QUE BUSCAMOS

Dónde dejan huellas los atacantes tras un login exitoso.

[ USUARIOS ]
Cuentas de administrador creadas en la ventana de divulgación (después del 2024-11-12). Comprueba wp_users.user_registered contra tus registros.
[ ARCHIVOS ]
PHP modificado recientemente en wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/, y cualquier PHP en wp-content/uploads/.
[ OPTIONS ]
Filas autoload de wp_options añadidas desde la divulgación; valores sospechosos codificados en base64; entradas active_plugins fraudulentas.
[ ACCESS LOG ]
POSTs a /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (y rutas relacionadas). Muchas peticiones con estado 200 desde un pequeño conjunto de IPs.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →