آسیب پذیری های حیاتی در افزونه های وردپرس WPLMS و VibeBP یافت شده است
انتشار: دی 03، 1403
بروزرسانی: 30 خرداد 1404

آسیب پذیری های حیاتی در افزونه های وردپرس WPLMS و VibeBP یافت شده است


یک سری از آسیب پذیری های جدی که بر افزونه های پرکاربرد وردپرس WPLMS و VibeBP تأثیر می گذارد توسط محققان امنیتی شناسایی شده است.

این پلاگین ها اجزای اصلی موضوع WPLMS Premium LMS هستند که بیش از 28000 فروش دارد.

این آسیب پذیری ها، که اکنون اصلاح شده اند، خطرات مهمی از جمله آپلود فایل های غیرمجاز، افزایش امتیازات و حملات تزریق SQL را به همراه دارند.

آسیب پذیری های حیاتی شناسایی شده اند

یکی از جدی ترین نقص های کشف شده توسط PatchStack، آپلودهای دلخواه فایل، از جمله CVE-2024-56046 است که به مهاجمان اجازه می دهد فایل های م،ب را آپلود کنند که به طور بالقوه منجر به اجرای کد از راه دور (RCE) می شود.

آسیب پذیری های افزایش امتیاز، از جمله CVE-2024-56043، کاربر، که احراز هویت نشده و دارای امتیاز پایین هستند را قادر می سازد تا نقش های خود را به سمت سرپرست ارتقا دهند، و این خطر تصرف کامل سایت را به خطر می اندازد. آسیب پذیری های تزریق SQL نیز فاش شده اند، مانند CVE-2024-56042، که اطلاعات حساس پایگاه داده را از طریق پرس و جوهای م،ب افشا می کند.

این آسیب پذیری ها در توابع مختلف، از جمله فرم های ثبت نام و نقاط پای، REST API یافت شدند.

محققان در مجموع ۱۸ آسیب پذیری را گزارش ،د که چندین آسیب پذیر در نظر گرفته شدند.

درباره امنیت وردپرس بیشتر بخو،د: نقص های امنیتی در قالب وردپرس Woffice از شما می خواهد به روزرس، فوری را انجام دهید

به روز رس، برای WPLMS و VibeBP منتشر شده است

برای رفع این مشکلات، توسعه دهندگان به روز رس، هایی را برای WPLMS (نسخه 1.9.9.5.3) و VibeBP (نسخه 1.9.9.7.7) منتشر کرده اند.

توسعه دهندگان با معرفی کنترل ها و بررسی های امنیتی سخت گیرانه تر، این آسیب پذیری ها را برطرف کرده اند.

برای اشکالات بارگذاری تصادفی فایل، آنها انواع فایل های دانلودی را محدود کرده اند، بررسی مجوزها را اضافه کرده اند و در برخی موارد، کدهای آسیب پذیر را حذف کرده اند. مشکلات افزایش امتیاز با اعمال محدودیت های نقش در طول ثبت نام و اجرای لیست سفید گزینه های مجاز کاهش می یابد. برای مبارزه با خطرات تزریق SQL، آنها فرار ورودی من، و قفل ، متغیرها و کدهای آسیب دیده را پیاده سازی ،د.

ما کاربران را تشویق می کنیم که فوراً این وصله ها را برای محافظت از سایت خود اعمال کنند.

برای جلوگیری از آسیب پذیری های مشابه، توسعه دهندگان تشویق می شوند اقدامات امنیتی زیر را اجرا کنند:

  • با بررسی نام و نوع فایل، آپلود فایل را محدود کنید

  • از لیست نقش های مجاز برای ثبت نام و نقش های پیش فرض استفاده کنید

  • از تمام ورودی های کاربر در پرس و جوهای SQL فرار کنید و داده های آماده را ترجیح دهید


منبع: https://www.infosecurity-magazine.com/news/flaws-wordpress-plugins-wplms/
نویسنده: تیم تحریریه دوربین مداربسته باز