Een kritieke kwetsbaarheid in de Really Simple Security-plug-in voor WordPress maakt het mogelijk om websites op afstand over te nemen. Vanwege de ernst van deze kwetsbaarheid heeft WordPress.org besloten om een update, die sinds vandaag beschikbaar is voor de gratis versie, geforceerd uit te rollen naar alle websites met een kwetsbare versie. Deze update wordt automatisch geïnstalleerd, zelfs als het automatisch updaten van plug-ins is uitgeschakeld.
Really Simple Security biedt functies zoals tweefactorauthenticatie (2FA), inlogbescherming, kwetsbaarheidsdetectie, HTTPS-redirects en de mogelijkheid om TLS-certificaten te installeren. Meer dan vier miljoen websites maken gebruik van deze plug-in. De kwetsbaarheid bevindt zich in de inlogfunctie van versies 9.0.0 tot en met 9.1.1.1, specifiek in de tweefactorauthenticatie.
De kwetsbaarheid (CVE-2024-10924) stelt een aanvaller in staat om toegang te krijgen tot elk account, inclusief beheerdersaccounts, door het versturen van een eenvoudig verzoek. Dit is alleen mogelijk als 2FA is ingeschakeld, wat standaard niet het geval is. Voor de Pro-versie was er al eerder een update beschikbaar, en voor de gratis versie is deze nu uitgerold. Gebruikers van versie 9.0.0 of nieuwer worden aangespoord om te controleren of ze inmiddels zijn bijgewerkt naar versie 9.1.2.