Ekspertët e Patchstack kanë zbuluar tre dobësi në shtojcën LearnPress të instaluar në mbi 100,000 sajte të WordPress. Çështja e sigurisë u zgjidh me versionin 4.2.0, por përditësimi u instalua vetëm në 25% të faqeve, siç tregohet në faqen e statistikave. Pasojat për pronarët e faqeve mund të jenë shumë serioze.
Bug-et në LearnPress janë nënvlerësuar
LearnPress është një shtojcë LMS (Sistemi i Menaxhimit të Mësimit) që ju lejon të krijoni dhe shisni kurse online me mësime dhe kuize. E para nga tre dobësitë u zbulua në fund të nëntorit 2022, ndërsa dy të tjerat në fillim të dhjetorit. Dy gabime janë të llojit “SQL Injection”. Dështimi për të kontrolluar hyrjen lejon një sulmues të fusë vargjet e kodit.
Në rastin e cenueshmërisë CVE-2022-45820 kërkohet vërtetimi (të paktën roli i kontribuuesit), ndërsa cenueshmëria CVE-2022-45080 është edhe më serioze, pasi nuk kërkohet vërtetim. Pasi të keni akses në bazën e të dhënave, mund të kryhen veprime të ndryshme, duke përfshirë vjedhjen e informacionit, ndryshimin e të dhënave dhe krijimin e një llogarie administratori.
Së fundi, cenueshmëria CVE-2022-47615 mund të shfrytëzohet për të parë skedarët e ruajtur në serverin e uebit, duke përfshirë kredencialet e bazës së të dhënave, shenjat e autorizimit dhe çelësat API. Në praktikë do të ishte e mundur të merrej kontrolli i plotë i faqes së WordPress. Siç u përmend, tre gabimet u rregulluan në LearnPress 4.2.0, por ky version aktualisht është i instaluar vetëm në rreth 25% të faqeve. Kjo do të thotë se rreth 75,000 faqe janë në rrezik.
Ky artikull përmban lidhje shoqëruese: blerjet ose porositë e bëra përmes këtyre lidhjeve do të lejojnë faqen tonë të marrë një komision. Ofertat mund të pësojnë ndryshime çmimesh pas publikimit.
Discussion about this post