Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

В плагинах WPLMS и VibeBP для WordPress обнаружены критические уязвимости

25/12/24

images - 2024-12-25T131011.906

Эти плагины являются ключевыми компонентами темы WPLMS LMS, которая используется для создания онлайн-курсов и управления образовательным контентом. Продажи темы превышают 28 000 копий, что подчёркивает масштабы риска, пишет Securitylab.

Уязвимости создают серьёзные угрозы, такие как несанкционированная загрузка файлов, повышение привилегий и атаки SQL-инъекций. Среди них выделяется уязвимость CVE-2024-56046, позволяющая злоумышленникам загружать вредоносные файлы и выполнять удалённый код.

Тем временем, уязвимость повышения привилегий ( CVE-2024-56043 ) давала возможность низкопривилегированным пользователям становиться администраторами, что могло привести к полному захвату сайта. SQL-инъекции, включая CVE-2024-56042, раскрывали конфиденциальную информацию базы данных через специально подготовленные запросы.

В целом, исследователи из PatchStack обнаружили в упомянутых плагинах 18 уязвимостей, из которых несколько были признаны критическими. Проблемы затрагивали функционал регистрационных форм и REST API.

Разработчики затронутых плагинов уже выпустили для них обновления, исправляющие все ошибки. Актуальная безопасная версия WPLMS — 1.9.9.5.3, а VibeBP — 1.9.9.7.7. Разработчики усилили проверки безопасности и ввели ограничения на загрузку файлов, а также исправили уязвимости с повышением привилегий и SQL-инъекций. Для защиты от SQL-инъекций также было добавлено экранирование пользовательского ввода и использование подготовленных запросов.

Пользователям настоятельно рекомендуется немедленно обновить плагины, чтобы защитить свои сайты.

Тем временем, эксперты PatchStack рекомендуют разработчикам соблюдать следующие меры безопасности для предотвращения аналогичных уязвимостей:

  • Ограничивать загрузку файлов, проверяя их типы и имена.
  • Использовать списки разрешённых ролей для регистрации.
  • Экранировать пользовательский ввод в SQL-запросах и применять подготовленные выражения.
Темы:WordPressУгрозыплагиныPatchStack
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...