CVE-2024-10924 · Auth bypass · 4M sites
Really Simple Security cleanup.
Contournement d'auth dans Really Simple Security (CVE-2024-10924). 4 M de sites. Nettoyage manuel. Forfait $279.
What the bug was
Contournement d'authentification via l'endpoint REST 2FA.
Really Simple Security exposait une route REST utilisée pour finaliser son flux de connexion à deux facteurs. Le handler acceptait un user_id depuis la requête et authentifiait l'appelant en tant que cet utilisateur sans vérifier que l'appelant avait passé le premier facteur. Un attaquant non authentifié pouvait demander user_id=1 et être connecté en tant qu'administrateur du site.
Versions affectées : 9.0.0 à 9.1.1.1. Patchée en 9.1.2. Le chemin de code vulnérable était actif lorsque la fonction 2FA du plugin était activée — mais la release patchée a été poussée en mise à jour automatique forcée, et la divulgation était publique, donc l'activité d'attaque a commencé immédiatement.
Indicators I look for
Où les attaquants laissent des traces après une connexion réussie.
Utilisateurs
Comptes administrateur créés dans la fenêtre de divulgation (après 2024-11-12). Vérifiez wp_users.user_registered par rapport à vos archives.
Files
PHP récemment modifié dans wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/, et tout PHP dans wp-content/uploads/.
Options
Lignes autoload de wp_options ajoutées depuis la divulgation ; valeurs encodées en base64 suspectes ; entrées active_plugins frauduleuses.
Access log
Requêtes POST vers /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (et routes associées). Nombreuses requêtes avec statut 200 depuis un petit ensemble d'IP.
Tarifs
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Démarrer un nettoyageMonitoring
$29 / mo
per site, cancel any time
Surveillance continue, durcissement, un nettoyage par an inclus.
Se protégerPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Voir tous les services →E-mail [email protected] or use the contact form.