Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.
Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.
WPLMS представляет собой LMS-систему для WordPress, используемую в основном образовательными учреждениями, компаниями, проводящими тренинги и так далее. Также тема предлагает интеграцию с WooCommerce для продажи курсов.
В общей сложности эксперты компании Patchstack обнаружили 18 проблем в плагинах WPLMS и VibeBP и в недавнем отчете рассказали о 10 наиболее опасных из них.
Следующие уязвимости затрагивают WPLMS:
- CVE-2024-56046 (10 баллов по шкале CVSS): позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально может вести к удаленному выполнению кода (RCE);
- CVE-2024-56050 (9,9 балла по шкале CVSS): аутентифицированные пользователи с привилегиями подписчика (subscriber) могут загружать файлы в обход ограничений;
- CVE-2024-56052 (9,9 балла по шкале CVSS): аналогична предыдущей уязвимости, но также может использоваться пользователями с ролью student;
- CVE-2024-56043 (9,8 балла по шкале CVSS): злоумышленники могут зарегистрироваться без аутентификации в любой роли, включая администратора;
- CVE-2024-56048 (8,8 балла по шкале CVSS): пользователи с низкими привилегиями могут повысить свои права до более высоких, используя проблемы с валидацией ролей;
- CVE-2024-56042 (9,3 балла по шкале CVSS): злоумышленники могут использовать вредоносные SQL-запросы для извлечения конфиденциальных данных и компрометации базы данных;
- CVE-2024-56047 (8,5 балла по шкале CVSS): пользователи с низкими привилегиями могут выполнять SQL-запросы, потенциально нарушая целостность или конфиденциальность данных.
Следующие проблемы представляют угрозу для VibeBP:
- CVE-2024-56040 (9,8 балла по шкале CVSS): злоумышленники могут регистрироваться без аутентификации как привилегированные пользователи;
- CVE-2024-56039 (9,3 балла по шкале CVSS): неаутентифицированные пользователи могут осуществлять инъекции SQL-запросов, эксплуатируя некорректную очистку входящих данных;
- CVE-2024-56041 (8,5 балла по шкале CVSS): аутентифицированные пользователи с минимальными привилегиями могут выполнять SQL-инъекции для компрометации и извлечения информации из базы данных.
Теперь пользователям WPLMS рекомендуется как можно скорее обновиться до версии 1.9.9.5.3, а VibeBP — до 1.9.9.7.7 или более поздней.
В своем отчете эксперты отмечают, что обнаружили уязвимости еще весной текущего года и 31 марта уведомили о них компанию Vibe Themese, стоящую за разработкой WPLMS. Однако выход исправлений занял много времени, так как с апреля по ноябрь производитель тестировал несколько патчей, пока не добился исправления всех багов.