CVE-2024-10924 · Auth bypass · 4M sites
Really Simple Security cleanup.
Bypass de autenticación en Really Simple Security (CVE-2024-10924). 4M de sitios. Limpieza manual. Tarifa plana $279.
What the bug was
Bypass de autenticación vía el endpoint REST de 2FA.
Really Simple Security exponía una ruta REST utilizada para completar su flujo de login con doble factor. El handler aceptaba un user_id desde la petición y autenticaba al llamante como ese usuario sin verificar que hubiera superado el primer factor. Un atacante no autenticado podía pedir user_id=1 y quedar logueado como el administrador del sitio.
Versiones afectadas: 9.0.0 a 9.1.1.1. Parcheado en 9.1.2. La ruta de código vulnerable estaba activa cuando la funcionalidad 2FA del plugin estaba habilitada — pero la versión parcheada se distribuyó como auto-actualización forzada, y la divulgación fue pública, así que la actividad de ataque empezó de inmediato.
Indicators I look for
Dónde dejan huellas los atacantes tras un login exitoso.
Usuarios
Cuentas de administrador creadas en la ventana de divulgación (después del 2024-11-12). Comprueba wp_users.user_registered contra tus registros.
Files
PHP modificado recientemente en wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/, y cualquier PHP en wp-content/uploads/.
Options
Filas autoload de wp_options añadidas desde la divulgación; valores sospechosos codificados en base64; entradas active_plugins fraudulentas.
Access log
POSTs a /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (y rutas relacionadas). Muchas peticiones con estado 200 desde un pequeño conjunto de IPs.
Precios
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Iniciar limpiezaMonitoring
$29 / mo
per site, cancel any time
Monitorización continua, endurecimiento, una limpieza al año incluida.
ProtégetePart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Ver todos los servicios →Correo [email protected] or use the contact form.