Bug in LearnPress: pericolo per 75.000 siti WordPress

Bug in LearnPress: pericolo per 75.000 siti WordPress

Circa 75.000 siti WordPress che usano LearnPress non hanno ancora installato la versione del plugin che risolte tre gravi vulnerabilità.
Circa 75.000 siti WordPress che usano LearnPress non hanno ancora installato la versione del plugin che risolte tre gravi vulnerabilità.

Gli esperti di Patchstack hanno scoperto tre vulnerabilità nel plugin LearnPress installato su oltre 100.000 siti WordPress. Il problema di sicurezza è stato risolto con la versione 4.2.0, ma l’aggiornamento è stato installato solo sul 25% dei siti, come indicato nella pagina delle statistiche. Le conseguenze per i proprietari dei siti possono essere molto gravi.

Bug in LearnPress sottovalutati

LearnPress è un plugin LMS (Learning Management System) che permette di creare e vendere corsi online con lezioni e quiz. La prima delle tre vulnerabilità è stata scoperta a fine novembre 2022, mentre le altre due all’inizio di dicembre. Due bug sono del tipo “SQL Injection”. Il mancato controllo dell’input consente ad un malintenzionato di inserire stringhe di codice.

Nel caso della vulnerabilità CVE-2022-45820 è necessaria l’autenticazione (almeno il ruolo di Contributore), mentre la vulnerabilità CVE-2022-45080 è ancora più grave, in quanto non è richiesta nessuna autenticazione. Dopo aver ottenuto l’accesso al database è possibile eseguire diverse azioni, tra cui il furto di informazioni, la modifica dei dati e la creazione di un account amministratore.

Infine, la vulnerabilità CVE-2022-47615 può essere sfruttata per visualizzare i file conservati sul server web, tra cui credenziali del database, token di autorizzazione e chiavi API. In pratica sarebbe possibile prendere il controllo completo del sito WordPress. Come detto, i tre bug sono stati risolti in LearnPress 4.2.0, ma al momento questa versione è installato solo sul 25% circa dei siti. Ciò significa che quasi 75.000 siti sono a rischio.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Patchstack
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 25 gen 2023
Link copiato negli appunti