De acuerdo a Víctor Ruiz, del portal SILIKIN, se ha detectado una vulnerabilidad crítica de omisión de autenticación en el complemento Really Simple Security (anteriormente conocido como Really Simple SSL) para WordPress. Esta vulnerabilidad, si es explotada con éxito, podría permitir que un atacante obtenga acceso administrativo completo a los sitios afectados.

Identificada como CVE-2024-10924 con una puntuación CVSS de 9.8, esta falla afecta tanto a las versiones gratuitas como a las premium del complemento, que cuenta con más de 4 millones de instalaciones activas en sitios de WordPress.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad reside en un manejo incorrecto de la verificación de usuario en la función check_login_and_get_user. Esto permite que atacantes no autenticados puedan acceder a cualquier cuenta, incluida la de administrador, incluso si la autenticación de dos factores está habilitada. Una de las funciones que gestionan esta autenticación fue implementada de forma insegura, permitiendo a los atacantes obtener acceso con una solicitud sencilla.

El problema afecta las versiones 9.0.0 a 9.1.1.1 del complemento. Tras su divulgación el 6 de noviembre de 2024, los desarrolladores lanzaron una solución en la versión 9.1.2, publicada una semana después. Debido al alto riesgo de explotación, se implementó una actualización forzada en colaboración con WordPress para mitigar la amenaza antes de que la vulnerabilidad fuera conocida públicamente.

Riesgos asociados

El aprovechamiento de esta vulnerabilidad podría permitir a actores maliciosos tomar el control total de un sitio WordPress, lo que podría usarse para actividades ilegales como la distribución de malware, el robo de información o el secuestro de sitios.

Otra vulnerabilidad reciente en WordPress
Esta noticia surge poco después de la divulgación de otra falla crítica en el sistema de gestión de aprendizaje WPLMS para WordPress. Conocida como CVE-2024-10470 y también con una puntuación CVSS de 9.8, esta vulnerabilidad permite a atacantes no autenticados leer y eliminar archivos arbitrarios. En casos graves, podría derivar en la ejecución de código malicioso.

Las versiones de WPLMS anteriores a la 4.963 son vulnerables debido a una validación insuficiente de rutas y comprobaciones inadecuadas de permisos. Esto permite a los atacantes eliminar archivos críticos como el wp-config.php, dejando el sitio en un estado de configuración inicial y facilitando el acceso malintencionado a la base de datos.

Sitios afectados

Entre los portales potencialmente vulnerables se encuentran diversos sitios gubernamentales en México, incluidos:

Gobierno Municipal de Chapala (Jalisco)
Mujeres con Bienestar (Estado de México)
Alcaldía Cuajimalpa de Morelos (Ciudad de México)
Secretaría de Cultura (Guerrero)
Ayuntamiento de Jilotepec (Estado de México)
Gobierno del Estado de Oaxaca
Municipio de San Pedro Yolox (Oaxaca)
Municipio de Tianguistenco (Estado de México)
Comisión Mexicana de Filmaciones
Organismo Operador Municipal de Agua Potable (Cajeme, Sonora)
Ayuntamiento de Atlacomulco (Estado de México)
Instituto de la Educación Básica (Morelos)
Municipio de Sahuaripa (Sonora)
Municipio de Singuilucan (Hidalgo)
Fideicomiso de Obras por Cooperación (León, Guanajuato)
Intranet del Gobierno del Estado de Veracruz
Servicios de Salud Jalisco
Presidencia Municipal de Pachuca (Hidalgo)

Recomendaciones

Es fundamental que los administradores de sitios WordPress actualicen inmediatamente a la versión más reciente de los complementos afectados. Además, se recomienda realizar auditorías periódicas de seguridad y revisar las configuraciones de autenticación para proteger los sitios de futuros riesgos.