В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости» » Интернет технологии
sitename
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
 В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
 Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
 В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
 ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
 Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
 Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
 MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
 Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
 Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Заработок » В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

✔В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

09 января 2025 616 Заработок / Новости / Изображения / Вёрстка / Преимущества стилей / Добавления стилей 0

Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.


Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.


WPLMS представляет собой LMS-систему для WordPress, используемую в основном образовательными учреждениями, компаниями, проводящими тренинги и так далее. Также тема предлагает интеграцию с WooCommerce для продажи курсов.


В общей сложности эксперты компании Patchstack обнаружили 18 проблем в плагинах WPLMS и VibeBP и в недавнем отчете рассказали о 10 наиболее опасных из них.


Читайте также - Башенныечасысейчас можно увидеть далеко не во всех населенных пунктах, но там, где они есть,они становятся местной достопримечательностью - https://kitsanshop.ru/bashennye_fasadnye_chasy/ по доступным ценам.

Следующие уязвимости затрагивают WPLMS:


  • CVE-2024-56046 (10 баллов по шкале CVSS): позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально может вести к удаленному выполнению кода (RCE);
  • CVE-2024-56050 (9,9 балла по шкале CVSS): аутентифицированные пользователи с привилегиями подписчика (subscriber) могут загружать файлы в обход ограничений;
  • CVE-2024-56052 (9,9 балла по шкале CVSS): аналогична предыдущей уязвимости, но также может использоваться пользователями с ролью student;
  • CVE-2024-56043 (9,8 балла по шкале CVSS): злоумышленники могут зарегистрироваться без аутентификации в любой роли, включая администратора;
  • CVE-2024-56048 (8,8 балла по шкале CVSS): пользователи с низкими привилегиями могут повысить свои права до более высоких, используя проблемы с валидацией ролей;
  • CVE-2024-56042 (9,3 балла по шкале CVSS): злоумышленники могут использовать вредоносные SQL-запросы для извлечения конфиденциальных данных и компрометации базы данных;
  • CVE-2024-56047 (8,5 балла по шкале CVSS): пользователи с низкими привилегиями могут выполнять SQL-запросы, потенциально нарушая целостность или конфиденциальность данных.


Эксплуатация CVE-2024-56046

Следующие проблемы представляют угрозу для VibeBP:



  • CVE-2024-56040 (9,8 балла по шкале CVSS): злоумышленники могут регистрироваться без аутентификации как привилегированные пользователи;

  • CVE-2024-56039 (9,3 балла по шкале CVSS): неаутентифицированные пользователи могут осуществлять инъекции SQL-запросов, эксплуатируя некорректную очистку входящих данных;

  • CVE-2024-56041 (8,5 балла по шкале CVSS): аутентифицированные пользователи с минимальными привилегиями могут выполнять SQL-инъекции для компрометации и извлечения информации из базы данных.


В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей - «Новости»

Эксплуатация CVE-2024-56039

Теперь пользователям WPLMS рекомендуется как можно скорее обновиться до версии 1.9.9.5.3, а VibeBP — до 1.9.9.7.7 или более поздней.


В своем отчете эксперты отмечают, что обнаружили уязвимости еще весной текущего года и 31 марта уведомили о них компанию Vibe Themese, стоящую за разработкой WPLMS. Однако выход исправлений занял много времени, так как с апреля по ноябрь производитель тестировал несколько патчей, пока не добился исправления всех багов.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические. Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции. WPLMS представляет собой LMS-систему для WordPress, используемую в основном образовательными учреждениями, компаниями, проводящими тренинги и так далее. Также тема предлагает интеграцию с WooCommerce для продажи курсов. В общей сложности эксперты компании Patchstack обнаружили 18 проблем в плагинах WPLMS и VibeBP и в недавнем отчете рассказали о 10 наиболее опасных из них. Читайте также - Башенныечасысейчас можно увидеть далеко не во всех населенных пунктах, но там, где они есть,они становятся местной достопримечательностью - по доступным ценам. Следующие уязвимости затрагивают WPLMS: CVE-2024-56046 (10 баллов по шкале CVSS): позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально может вести к удаленному выполнению кода (RCE); CVE-2024-56050 (9,9 балла по шкале CVSS): аутентифицированные пользователи с привилегиями подписчика (subscriber) могут загружать файлы в обход ограничений; CVE-2024-56052 (9,9 балла по шкале CVSS): аналогична предыдущей уязвимости, но также может использоваться пользователями с ролью student; CVE-2024-56043 (9,8 балла по шкале CVSS): злоумышленники могут зарегистрироваться без аутентификации в любой роли, включая администратора; CVE-2024-56048 (8,8 балла по шкале CVSS): пользователи с низкими привилегиями могут повысить свои права до более высоких, используя проблемы с валидацией ролей; CVE-2024-56042 (9,3 балла по шкале CVSS): злоумышленники могут использовать вредоносные SQL-запросы для извлечения конфиденциальных данных и компрометации базы данных; CVE-2024-56047 (8,5 балла по шкале CVSS): пользователи с низкими привилегиями могут выполнять SQL-запросы, потенциально нарушая целостность или конфиденциальность данных. Эксплуатация CVE-2024-56046 Следующие проблемы представляют угрозу для VibeBP: CVE-2024-56040 (9,8 балла по шкале CVSS): злоумышленники могут регистрироваться без аутентификации как привилегированные пользователи; CVE-2024-56039 (9,3 балла по шкале CVSS): неаутентифицированные пользователи могут осуществлять инъекции SQL-запросов, эксплуатируя некорректную очистку входящих данных; CVE-2024-56041 (8,5 балла по шкале CVSS): аутентифицированные пользователи с минимальными привилегиями могут выполнять SQL-инъекции для компрометации и извлечения информации из базы данных. Эксплуатация CVE-2024-56039 Теперь пользователям WPLMS рекомендуется как можно скорее обновиться до версии 1.9.9.5.3, а VibeBP — до 1.9.9.7.7 или более поздней. В своем отчете эксперты отмечают, что обнаружили уязвимости еще весной текущего года и 31 марта уведомили о них компанию Vibe Themese, стоящую за разработкой WPLMS. Однако выход исправлений занял много времени, так как с апреля по ноябрь производитель тестировал несколько патчей, пока не добился исправления всех багов.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: