Плагин для онлайн курсов LearnPress оказался с критическими уязвимостями. Бреши обнаружены связанные с SQL-инъекциями перед аутентификацией и включением локальных файлов. Плагин популярный и установлен более чем на 100 тысяч сайтов под управлением CMS WordPress.
LearnPress — это LMS-плагин, который расширяет возможности WordPress-сайтов, для создания и продажи онлайн-курсов, уроков и викторин. Залог в популярности достигалось путем легкого понятного интерфейса доступного любому пользователю.
Специалистами PatchStack были найдены уязвимости в LearnPress в период с 30 ноября по 2 декабря 2022 года, разработчики плагина были осведомлены сразу. Все баги пофиксили в релизе LearnPress 4.2.0, однако, согласно статистике WordPress.org, пока исправления установили лишь 25% владельцев ресурсов. 75 000 сайтов по-прежнему используют не безопасные версии LearnPress, подвергаясь серьезным рискам.
Первой уязвимостью, обнаруженной экспертами PatchStack, стала CVE-2022-47615, ошибка включения локальных файлов (local file inclusion) без аутентификации, которая позволяет злоумышленникам видеть содержимое локальных файлов, хранящихся на веб-сервере. Этот баг может привести к раскрытию учетных данных, токенов авторизации и ключей API, что приведет к дальнейшей компрометации.
Второй критический баг (CVE-2022-45808) представляет собой SQL-инъекцию без аутентификации, которая может вести к раскрытию конфиденциальной информации, изменению данных и выполнению произвольного кода. Эта уязвимость связана с функцией, которая обрабатывает SQL-запросы сайта, она неправильно очищает и проверяет переменную $filter в параметрах запроса, что позволяет злоумышленнику внедрить в нее вредоносный код.
Третьей уязвимостью, затрагивающей более старые версии LearnPress, стала CVE-2022-45820. Это еще одна SQL-инъекция (на этот раз после аутентификации), найденная в двух шорткодах плагина (learn_press_recent_courses и learn_press_featured_courses). Баг не позволяет должным образом проверить и очистить ввод переменной $args.
К счастью, эксплуатация этой уязвимости ограничена тем фактом, что для осуществления атаки злоумышленник должен обладать правами для редактирования или создания новых записей в блоге.
Всем владельцам сайтов, использующим LearnPress, рекомендуется как можно скорее обновиться до версии 4.2.0, либо отключить плагин вовсе, до тех пор, пока они не смогут установить патч.
Больше статей
GitLab устранила уязвимость CVE-2023-2825
Google объявила о запуске новой программы для поиска уязвимостей — Mobile Vulnerability Rewards Program
Роутеры TP-Link взламывают хакеры Mustang Panda из Китая