Сперва главное:
🔍 В конце марта 2024 года на платформе Patchstack были обнаружены уязвимости в двух популярных премиум-плагинах для WordPress: WPLMS и VibeBP.
🛠️ Всего было найдено 18 уязвимостей, большинство из которых имели критический уровень опасности. Они позволяли злоумышленникам загружать произвольные файлы, выполнять код, повышать привилегии и осуществлять SQL-инъекции.
📝 Один из обнаруженных недостатков (CVE-2024-56046) получил максимальную оценку опасности — 10 из 10. Он позволяет злоумышленникам загружать файлы без аутентификации, что может привести к удалённому выполнению кода.
💡 Пользователям WPLMS рекомендуется обновить платформу до версии 1.9.9.5.3 или более новой, а VibeBP — до версии 1.9.9.7.7 или новее.
📌 Владельцам сайтов следует обеспечить безопасную загрузку файлов, очистку SQL-запросов и управление доступом на основе ролей.
Теперь подробнее:
Два премиум-плагина для WordPress содержали более десятка уязвимостей, некоторые из которых были признаны критическими. Об этом сообщила платформа кибербезопасности Patchstack, обнаружившая проблемы в конструкторе сайтов в конце марта 2024 года и сообщившая о них разработчикам. С тех пор все ошибки были устранены.
Ошибки были обнаружены в плагинах WPLMS и VibeBP.
WordPress позволяет создавать системы управления обучением (LMS) — платформы, которые позволяют пользователям создавать, управлять и продавать онлайн-курсы прямо со своего сайта WordPress. Плагины LMS интегрируют образовательные функции с WordPress, позволяя преподавателям или организациям эффективно предоставлять курсы, отслеживать успеваемость учащихся и взаимодействовать со студентами.
Одной из наиболее популярных платформ LMS является WPLMS, созданная компанией VibeThemes. Её приобрели уже более 28 000 раз, она имеет множество функций, таких как создание и управление курсами, викторины и оценки, поддержка членства и подписки и многое другое.
VibeBP, с другой стороны, представляет собой плагин WordPress, который интегрирует BuddyPress с WPLMS, улучшая его функции социального обучения. Он позволяет пользователям создавать сообщества, предоставляя возможности для профилей пользователей, потоков активности, личных сообщений и уведомлений. Он также был создан VibeThemes.
По словам Patchstack, было обнаружено 18 уязвимостей, большинство из которых имели критическую степень серьёзности. Они позволяли удалённым злоумышленникам без аутентификации загружать произвольные файлы, выполнять код, повышать привилегии и выполнять SQL-инъекции. Другими словами, они могли использовать ошибки для захвата веб-сайтов, кражи конфиденциальных данных и многого другого. Одной ошибке — CVE-2024-56046 — была присвоена максимальная оценка 10/10, поскольку она позволяет злоумышленникам загружать произвольные файлы без аутентификации, что потенциально может привести к удалённому выполнению кода (RCE).
Пользователи WPLMS должны убедиться, что их платформа обновлена до версии 1.9.9.5.3 или новее, а VibeBP — до версии 1.9.9.7.7 или новее.