- 14,589
- 22
- 8 Ноя 2022
Популярные WordPress-плагины вновь стали источником глобальной угрозы.
В популярных плагинах WPLMS и VibeBP для WordPress обнаружены критические уязвимости. Эти плагины являются ключевыми компонентами премиальной темы WPLMS LMS, которая используется для создания онлайн-курсов и управления образовательным контентом. Продажи темы превышают 28 000 копий, что подчёркивает масштабы риска.
Уязвимости создают серьёзные угрозы, такие как несанкционированная загрузка файлов, повышение привилегий и атаки SQL-инъекций. Среди них выделяется уязвимость Для просмотра ссылки Войдиили Зарегистрируйся позволяющая злоумышленникам загружать вредоносные файлы и выполнять удалённый код.
Тем временем, уязвимость повышения привилегий ( Для просмотра ссылки Войдиили Зарегистрируйся ) давала возможность низкопривилегированным пользователям становиться администраторами, что могло привести к полному захвату сайта. SQL-инъекции, включая Для просмотра ссылки Войди или Зарегистрируйся раскрывали конфиденциальную информацию базы данных через специально подготовленные запросы.
В целом, исследователи из PatchStack Для просмотра ссылки Войдиили Зарегистрируйся в упомянутых плагинах 18 уязвимостей, из которых несколько были признаны критическими. Проблемы затрагивали функционал регистрационных форм и REST API.
Разработчики затронутых плагинов уже выпустили для них обновления, исправляющие все ошибки. Актуальная безопасная версия WPLMS — 1.9.9.5.3, а VibeBP — 1.9.9.7.7. Разработчики усилили проверки безопасности и ввели ограничения на загрузку файлов, а также исправили уязвимости с повышением привилегий и SQL-инъекций. Для защиты от SQL-инъекций также было добавлено экранирование пользовательского ввода и использование подготовленных запросов.
Пользователям настоятельно рекомендуется немедленно обновить плагины, чтобы защитить свои сайты.
Тем временем, эксперты PatchStack рекомендуют разработчикам соблюдать следующие меры безопасности для предотвращения аналогичных уязвимостей:
В популярных плагинах WPLMS и VibeBP для WordPress обнаружены критические уязвимости. Эти плагины являются ключевыми компонентами премиальной темы WPLMS LMS, которая используется для создания онлайн-курсов и управления образовательным контентом. Продажи темы превышают 28 000 копий, что подчёркивает масштабы риска.
Уязвимости создают серьёзные угрозы, такие как несанкционированная загрузка файлов, повышение привилегий и атаки SQL-инъекций. Среди них выделяется уязвимость Для просмотра ссылки Войди
Тем временем, уязвимость повышения привилегий ( Для просмотра ссылки Войди
В целом, исследователи из PatchStack Для просмотра ссылки Войди
Разработчики затронутых плагинов уже выпустили для них обновления, исправляющие все ошибки. Актуальная безопасная версия WPLMS — 1.9.9.5.3, а VibeBP — 1.9.9.7.7. Разработчики усилили проверки безопасности и ввели ограничения на загрузку файлов, а также исправили уязвимости с повышением привилегий и SQL-инъекций. Для защиты от SQL-инъекций также было добавлено экранирование пользовательского ввода и использование подготовленных запросов.
Пользователям настоятельно рекомендуется немедленно обновить плагины, чтобы защитить свои сайты.
Тем временем, эксперты PatchStack рекомендуют разработчикам соблюдать следующие меры безопасности для предотвращения аналогичных уязвимостей:
- Ограничивать загрузку файлов, проверяя их типы и имена.
- Использовать списки разрешённых ролей для регистрации.
- Экранировать пользовательский ввод в SQL-запросах и применять подготовленные выражения.
- Источник новости
- www.securitylab.ru
