В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Заработок » В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

✔В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

09 января 2025 563 Заработок / Новости / Изображения / Вёрстка / Преимущества стилей / Добавления стилей 0

Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.


Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.


WPLMS представляет собой LMS-систему для WordPress, используемую в основном образовательными учреждениями, компаниями, проводящими тренинги и так далее. Также тема предлагает интеграцию с WooCommerce для продажи курсов.


В общей сложности эксперты компании Patchstack обнаружили 18 проблем в плагинах WPLMS и VibeBP и в недавнем отчете рассказали о 10 наиболее опасных из них.


Читайте также - Башенныечасысейчас можно увидеть далеко не во всех населенных пунктах, но там, где они есть,они становятся местной достопримечательностью - https://kitsanshop.ru/bashennye_fasadnye_chasy/ по доступным ценам.

Следующие уязвимости затрагивают WPLMS:


  • CVE-2024-56046 (10 баллов по шкале CVSS): позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально может вести к удаленному выполнению кода (RCE);
  • CVE-2024-56050 (9,9 балла по шкале CVSS): аутентифицированные пользователи с привилегиями подписчика (subscriber) могут загружать файлы в обход ограничений;
  • CVE-2024-56052 (9,9 балла по шкале CVSS): аналогична предыдущей уязвимости, но также может использоваться пользователями с ролью student;
  • CVE-2024-56043 (9,8 балла по шкале CVSS): злоумышленники могут зарегистрироваться без аутентификации в любой роли, включая администратора;
  • CVE-2024-56048 (8,8 балла по шкале CVSS): пользователи с низкими привилегиями могут повысить свои права до более высоких, используя проблемы с валидацией ролей;
  • CVE-2024-56042 (9,3 балла по шкале CVSS): злоумышленники могут использовать вредоносные SQL-запросы для извлечения конфиденциальных данных и компрометации базы данных;
  • CVE-2024-56047 (8,5 балла по шкале CVSS): пользователи с низкими привилегиями могут выполнять SQL-запросы, потенциально нарушая целостность или конфиденциальность данных.


Эксплуатация CVE-2024-56046

Следующие проблемы представляют угрозу для VibeBP:



  • CVE-2024-56040 (9,8 балла по шкале CVSS): злоумышленники могут регистрироваться без аутентификации как привилегированные пользователи;

  • CVE-2024-56039 (9,3 балла по шкале CVSS): неаутентифицированные пользователи могут осуществлять инъекции SQL-запросов, эксплуатируя некорректную очистку входящих данных;

  • CVE-2024-56041 (8,5 балла по шкале CVSS): аутентифицированные пользователи с минимальными привилегиями могут выполнять SQL-инъекции для компрометации и извлечения информации из базы данных.


В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

Эксплуатация CVE-2024-56039

Теперь пользователям WPLMS рекомендуется как можно скорее обновиться до версии 1.9.9.5.3, а VibeBP — до 1.9.9.7.7 или более поздней.


В своем отчете эксперты отмечают, что обнаружили уязвимости еще весной текущего года и 31 марта уведомили о них компанию Vibe Themese, стоящую за разработкой WPLMS. Однако выход исправлений занял много времени, так как с апреля по ноябрь производитель тестировал несколько патчей, пока не добился исправления всех багов.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические. Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции. WPLMS представляет собой LMS-систему для WordPress, используемую в основном образовательными учреждениями, компаниями, проводящими тренинги и так далее. Также тема предлагает интеграцию с WooCommerce для продажи курсов. В общей сложности эксперты компании Patchstack обнаружили 18 проблем в плагинах WPLMS и VibeBP и в недавнем отчете рассказали о 10 наиболее опасных из них. Читайте также - Башенныечасысейчас можно увидеть далеко не во всех населенных пунктах, но там, где они есть,они становятся местной достопримечательностью - https://kitsanshop.ru/bashennye_fasadnye_chasy/ по доступным ценам. Следующие уязвимости затрагивают WPLMS: CVE-2024-56046 (10 баллов по шкале CVSS): позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально может вести к удаленному выполнению кода (RCE); CVE-2024-56050 (9,9 балла по шкале CVSS): аутентифицированные пользователи с привилегиями подписчика (subscriber) могут загружать файлы в обход ограничений; CVE-2024-56052 (9,9 балла по шкале CVSS): аналогична предыдущей уязвимости, но также может использоваться пользователями с ролью student; CVE-2024-56043 (9,8 балла по шкале CVSS): злоумышленники могут зарегистрироваться без аутентификации в любой роли, включая администратора; CVE-2024-56048 (8,8 балла по шкале CVSS): пользователи с низкими привилегиями могут повысить свои права до более высоких, используя проблемы с валидацией ролей; CVE-2024-56042 (9,3 балла по шкале CVSS): злоумышленники могут использовать вредоносные SQL-запросы для извлечения конфиденциальных данных и компрометации базы данных; CVE-2024-56047 (8,5 балла по шкале CVSS): пользователи с низкими привилегиями могут выполнять SQL-запросы, потенциально нарушая целостность или конфиденциальность данных. Эксплуатация CVE-2024-56046 Следующие проблемы представляют угрозу для VibeBP: CVE-2024-56040 (9,8 балла по шкале CVSS): злоумышленники могут регистрироваться без аутентификации как привилегированные пользователи; CVE-2024-56039 (9,3 балла по шкале CVSS): неаутентифицированные пользователи могут осуществлять инъекции SQL-запросов, эксплуатируя некорректную очистку входящих данных; CVE-2024-56041 (8,5 балла по шкале CVSS): аутентифицированные пользователи с минимальными привилегиями могут выполнять SQL-инъекции для компрометации и извлечения информации из базы данных. Эксплуатация CVE-2024-56039 Теперь пользователям WPLMS рекомендуется как можно скорее обновиться до версии 1.9.9.5.3, а VibeBP — до 1.9.9.7.7 или более поздней. В своем отчете эксперты отмечают, что обнаружили уязвимости еще весной текущего года и 31 марта уведомили о них компанию Vibe Themese, стоящую за разработкой WPLMS. Однако выход исправлений занял много времени, так как с апреля по ноябрь производитель тестировал несколько патчей, пока не добился исправления всех багов.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: