安装在 400 多万个网站上的一个 WordPress 插件存在一个脚本漏洞，可能会被用于对多个网站发起大规模自动攻击，从而导致网站被完全管理接管。

Wordfence公司的研究人员称这个身份验证绕过漏洞是他们发现的 “最严重的漏洞之一”，他们在本月早些时候在Really Simple Security公司的一个为网站提供WordPress安全功能的插件中发现了这个漏洞。该漏洞的关键 CVSS 得分为 9.8，影响到 9.0.0 至 9.1.1.1 版本的 Really Simple Security Pro 和 Pro Multisite 插件。

Wordfence安全研究员Istvan Marton在帖子中写道：“当启用双因素身份验证（2FA）功能时，攻击者可以通过该漏洞远程访问网站上的任何账户，包括管理员账户。”

据 Wordfence 称，该漏洞的存在是由于双因素 REST API 操作中 “check_login_and_get_user ”函数的用户检查错误处理不当造成的。此外，由于该漏洞是可编写脚本的，因此可以通过自动化方式同时对多个 WordPress 网站进行攻击。

鉴于该漏洞的严重性，Wordfence 在 11 月 6 日发现该漏洞后迅速采取行动，与 Really Simple Security 团队合作缓解该漏洞。在立即向供应商披露该漏洞后，Wordfence 于 11 月 12 日公开发布了 9.1.2 版本的修补更新。然后，在Wordfence的建议下，Really Simple Security在两天后强制更新了所有运行该插件的网站。

尽管如此，Wordfence仍建议任何使用该插件的网站管理员确认该插件是否已自动更新到补丁版本，因为 “没有有效许可证的网站可能没有自动更新功能”，Marton在帖子中指出。

新的 “真正简单的安全 ”功能引入漏洞

Really Simple Security 插件的前身是 Really Simple SSL；它在最新的重大版本更新中更名为 Really Simple SSL，同时还扩展了该插件的登录保护、漏洞检测和 2FA 等安全功能。

在这次更新中，添加 2FA 的功能之一 “被不安全地实施”，从而引入了漏洞，攻击者可以创建一个简单的请求来访问任何开启了 2FA 的用户账户。

具体来说，该插件使用 Rsssl_Twoo_Factor_On_Board_Api 类中的 skip_onboarding()函数来处理通过 REST API 进行的身份验证，一旦失败就会返回 WP_REST_Response 错误。然而，这并没有在函数中进行处理，这 “意味着即使在非ce无效的情况下，函数处理仍会继续，并调用 authenticate_and_redirect()，”Marton 写道。他写道：”这将根据请求中传递的用户 ID 对用户进行身份验证，即使该用户的身份尚未得到验证。

最终，这使得威胁行为者有可能绕过身份验证，访问运行漏洞插件版本的网站上的任意账户。

Marton解释说：“一如既往，身份验证绕过漏洞和由此导致的对高权限用户账户的访问，使威胁行为者很容易完全攻陷有漏洞的WordPress网站并进一步感染它。”

Wordfence： 传播信息，检查插件

由于 WordPress 平台作为数百万网站的基础被广泛使用，因此它及其插件尤其是威胁行为者最喜欢攻击的目标，这让他们很容易接触到广泛的攻击面。攻击者尤其喜欢利用安装量大的单个插件，因此，像在 Really Simple Security 插件中发现的漏洞这样的漏洞就成了有吸引力的攻击目标。

尽管大多数使用该插件的网站应该已经进行了更新，但 Wordfence 仍建议用户传播消息，以确保由于该漏洞的严重性而尽可能广泛地覆盖补丁。

Marton在帖子中写道：“如果你知道有人在自己的网站上使用这些插件，我们建议你与他们分享这个警告，以确保他们网站的安全，因为这个漏洞会带来巨大的风险。”