Două pluginuri esențiale pentru tema premium WordPress WPLMS, utilizată de peste 28.000 de clienți, prezintă 18 vulnerabilități, dintre care 7 sunt critice. Aceste probleme pot permite atacatorilor să încarce fișiere malițioase, să execute cod la distanță, să escaladeze privilegii sau să exploateze baze de date prin injecții SQL.
Vulnerabilități critice detaliate sunt următoarele:
- CVE-2024-56046: Permite încărcarea fișierelor fără autentificare, ducând la execuția codului la distanță (CVSS 10.0).
- CVE-2024-56043: Permite înregistrarea neautentificată cu roluri privilegiate, inclusiv Administrator (CVSS 9.8).
- CVE-2024-56042: Expune baza de date la injecții SQL periculoase (CVSS 9.3).
Pentru a proteja site-urile, utilizatorii trebuie să actualizeze pluginurile WPLMS la versiunea 1.9.9.5.3 și VibeBP la versiunea 1.9.9.7.7. Patchstack recomandă, de asemenea, implementarea unor măsuri precum:
- Încărcarea securizată a fișierelor
- Validarea strictă a intrărilor SQL
- Configurarea corectă a rolurilor de acces
Vulnerabilitățile au fost semnalate dezvoltatorului WPLMS, Vibe Themes, pe 31 martie 2024. În colaborare cu Patchstack, acestea au fost remediate treptat, finalizarea soluțiilor fiind anunțată în noiembrie 2024.
