Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим

Плагин для онлайн курсов LearnPress  оказался с критическими уязвимостями. Бреши обнаружены связанные с SQL-инъекциями перед аутентификацией и включением локальных файлов. Плагин популярный и установлен более чем на 100 тысяч сайтов под управлением CMS WordPress.

LearnPress — это LMS-плагин, который расширяет возможности WordPress-сайтов, для создания  и продажи онлайн-курсов, уроков и викторин. Залог в популярности достигалось путем легкого понятного интерфейса доступного любому пользователю.

Специалистами PatchStack  были найдены уязвимости в LearnPress в период с 30 ноября по 2 декабря 2022 года, разработчики плагина были осведомлены сразу. Все баги пофиксили в релизе LearnPress 4.2.0, однако, согласно статистике WordPress.org, пока исправления установили лишь 25% владельцев ресурсов. 75 000 сайтов по-прежнему используют не безопасные версии LearnPress, подвергаясь серьезным рискам.

Первой уязвимостью, обнаруженной экспертами PatchStack, стала CVE-2022-47615, ошибка включения локальных файлов (local file inclusion) без аутентификации, которая позволяет злоумышленникам видеть содержимое локальных файлов, хранящихся на веб-сервере. Этот баг может привести к раскрытию учетных данных, токенов авторизации и ключей API, что приведет к дальнейшей компрометации.

Второй критический баг (CVE-2022-45808) представляет собой SQL-инъекцию без аутентификации, которая может вести к раскрытию конфиденциальной информации, изменению данных и выполнению произвольного кода. Эта уязвимость связана с функцией, которая обрабатывает SQL-запросы сайта, она неправильно очищает и проверяет переменную $filter в параметрах запроса, что позволяет злоумышленнику внедрить в нее вредоносный код.

Третьей уязвимостью, затрагивающей более старые версии LearnPress, стала CVE-2022-45820. Это еще одна SQL-инъекция (на этот раз после аутентификации), найденная в двух шорткодах плагина (learn_press_recent_courses и learn_press_featured_courses). Баг не позволяет должным образом проверить и очистить ввод переменной $args.

К счастью, эксплуатация этой уязвимости ограничена тем фактом, что для осуществления атаки злоумышленник должен обладать правами для редактирования или создания новых записей в блоге.

Всем владельцам сайтов, использующим LearnPress, рекомендуется как можно скорее обновиться до версии 4.2.0, либо отключить плагин вовсе, до тех пор, пока они не смогут установить патч.