该漏洞被标记为CVE-2024-10924（CVSS评分：9.8），影响插件的免费和付费版本，涉及超过400万WordPress网站。Wordfence安全研究员István Márton警告称：“这个漏洞可以被编写成脚本，转化为针对WordPress网站的大规模自动化攻击。”

在2024年11月6日披露后，该漏洞在一周后发布的9.1.2版本中被修复。为了防止潜在的滥用，插件维护者与WordPress合作，在公开披露前强制更新了所有运行旧版本插件的网站。

Wordfence指出，这个认证绕过漏洞存在于9.0.0至9.1.1.1版本中，由于“check_login_and_get_user”函数中的错误处理不当，允许未经认证的攻击者在启用双因素认证时，登录为任意用户，包括管理员。

Márton解释说：“不幸的是，增加双因素认证的一个特性实现不安全，使得未经认证的攻击者在双因素认证启用时，只需一个简单的请求就能访问任何用户账户，包括管理员账户。”

成功利用此漏洞可能带来严重后果，恶意行为者可能借此劫持WordPress网站，用于非法活动。

此次披露紧随Wordfence揭露的另一个WordPress学习管理系统WPLMS的严重漏洞（CVE-2024-10470，CVSS评分：9.8）之后，该漏洞可能使未经认证的攻击者读取和删除任意文件，可能导致代码执行。

具体来说，4.963版本之前的主题“由于文件路径验证和权限检查不足，容易受到任意文件读取和删除的影响”，允许未经认证的攻击者删除服务器上的任意文件。

Wordfence表示：“这使得未经认证的攻击者能够读取和删除服务器上的任何任意文件，包括网站的wp-config.php文件。删除wp-config.php文件会使网站进入设置状态，允许攻击者通过将其连接到他们控制的数据库来接管网站。”

文章参考：

https://thehackernews.com/2024/11/urgent-critical-wordpress-plugin.html