В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости» » Интернет технологии
sitename
«Роснано» запустила сборку микросхем в Зеленограде по российской технологии - «Новости сети»
«Роснано» запустила сборку микросхем в Зеленограде по российской технологии - «Новости сети»
 Искусственное Солнце на Земле первым зажжёт Китай — не позже 2030 года, пообещали учёные - «Новости сети»
Искусственное Солнце на Земле первым зажжёт Китай — не позже 2030 года, пообещали учёные - «Новости сети»
 Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
 Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
 Совершеннолетние пользователи бесплатной версии ChatGPT в США первыми увидят рекламу - «Новости сети»
Совершеннолетние пользователи бесплатной версии ChatGPT в США первыми увидят рекламу - «Новости сети»
 Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
 Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Заработок » В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

✔В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

09 января 2025 621 Заработок / Новости / Изображения / Вёрстка / Преимущества стилей / Добавления стилей 0

Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.


Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.


WPLMS представляет собой LMS-систему для WordPress, используемую в основном образовательными учреждениями, компаниями, проводящими тренинги и так далее. Также тема предлагает интеграцию с WooCommerce для продажи курсов.


В общей сложности эксперты компании Patchstack обнаружили 18 проблем в плагинах WPLMS и VibeBP и в недавнем отчете рассказали о 10 наиболее опасных из них.


Следующие уязвимости затрагивают WPLMS:


  • CVE-2024-56046 (10 баллов по шкале CVSS): позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально может вести к удаленному выполнению кода (RCE);
  • CVE-2024-56050 (9,9 балла по шкале CVSS): аутентифицированные пользователи с привилегиями подписчика (subscriber) могут загружать файлы в обход ограничений;
  • CVE-2024-56052 (9,9 балла по шкале CVSS): аналогична предыдущей уязвимости, но также может использоваться пользователями с ролью student;
  • CVE-2024-56043 (9,8 балла по шкале CVSS): злоумышленники могут зарегистрироваться без аутентификации в любой роли, включая администратора;
  • CVE-2024-56048 (8,8 балла по шкале CVSS): пользователи с низкими привилегиями могут повысить свои права до более высоких, используя проблемы с валидацией ролей;
  • CVE-2024-56042 (9,3 балла по шкале CVSS): злоумышленники могут использовать вредоносные SQL-запросы для извлечения конфиденциальных данных и компрометации базы данных;
  • CVE-2024-56047 (8,5 балла по шкале CVSS): пользователи с низкими привилегиями могут выполнять SQL-запросы, потенциально нарушая целостность или конфиденциальность данных.



Эксплуатация CVE-2024-56046

Следующие проблемы представляют угрозу для VibeBP:



  • CVE-2024-56040 (9,8 балла по шкале CVSS): злоумышленники могут регистрироваться без аутентификации как привилегированные пользователи;

  • CVE-2024-56039 (9,3 балла по шкале CVSS): неаутентифицированные пользователи могут осуществлять инъекции SQL-запросов, эксплуатируя некорректную очистку входящих данных;

  • CVE-2024-56041 (8,5 балла по шкале CVSS): аутентифицированные пользователи с минимальными привилегиями могут выполнять SQL-инъекции для компрометации и извлечения информации из базы данных.


В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»


Эксплуатация CVE-2024-56039

Теперь пользователям WPLMS рекомендуется как можно скорее обновиться до версии 1.9.9.5.3, а VibeBP — до 1.9.9.7.7 или более поздней.


В своем отчете эксперты отмечают, что обнаружили уязвимости еще весной текущего года и 31 марта уведомили о них компанию Vibe Themese, стоящую за разработкой WPLMS. Однако выход исправлений занял много времени, так как с апреля по ноябрь производитель тестировал несколько патчей, пока не добился исправления всех багов.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические. Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции. WPLMS представляет собой LMS-систему для WordPress, используемую в основном образовательными учреждениями, компаниями, проводящими тренинги и так далее. Также тема предлагает интеграцию с WooCommerce для продажи курсов. В общей сложности эксперты компании Patchstack обнаружили 18 проблем в плагинах WPLMS и VibeBP и в недавнем отчете рассказали о 10 наиболее опасных из них. Следующие уязвимости затрагивают WPLMS: CVE-2024-56046 (10 баллов по шкале CVSS): позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально может вести к удаленному выполнению кода (RCE); CVE-2024-56050 (9,9 балла по шкале CVSS): аутентифицированные пользователи с привилегиями подписчика (subscriber) могут загружать файлы в обход ограничений; CVE-2024-56052 (9,9 балла по шкале CVSS): аналогична предыдущей уязвимости, но также может использоваться пользователями с ролью student; CVE-2024-56043 (9,8 балла по шкале CVSS): злоумышленники могут зарегистрироваться без аутентификации в любой роли, включая администратора; CVE-2024-56048 (8,8 балла по шкале CVSS): пользователи с низкими привилегиями могут повысить свои права до более высоких, используя проблемы с валидацией ролей; CVE-2024-56042 (9,3 балла по шкале CVSS): злоумышленники могут использовать вредоносные SQL-запросы для извлечения конфиденциальных данных и компрометации базы данных; CVE-2024-56047 (8,5 балла по шкале CVSS): пользователи с низкими привилегиями могут выполнять SQL-запросы, потенциально нарушая целостность или конфиденциальность данных. Эксплуатация CVE-2024-56046 Следующие проблемы представляют угрозу для VibeBP: CVE-2024-56040 (9,8 балла по шкале CVSS): злоумышленники могут регистрироваться без аутентификации как привилегированные пользователи; CVE-2024-56039 (9,3 балла по шкале CVSS): неаутентифицированные пользователи могут осуществлять инъекции SQL-запросов, эксплуатируя некорректную очистку входящих данных; CVE-2024-56041 (8,5 балла по шкале CVSS): аутентифицированные пользователи с минимальными привилегиями могут выполнять SQL-инъекции для компрометации и извлечения информации из базы данных. Эксплуатация CVE-2024-56039 Теперь пользователям WPLMS рекомендуется как можно скорее обновиться до версии 1.9.9.5.3, а VibeBP — до 1.9.9.7.7 или более поздней. В своем отчете эксперты отмечают, что обнаружили уязвимости еще весной текущего года и 31 марта уведомили о них компанию Vibe Themese, стоящую за разработкой WPLMS. Однако выход исправлений занял много времени, так как с апреля по ноябрь производитель тестировал несколько патчей, пока не добился исправления всех багов.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: