В плагине онлайн-курса LearnPress было обнаружено несколько критических уязвимостей, в том числе связанных с SQL-инъекцией перед аутентификацией и включая локальные файлы. Плагин используется более чем на 100 000 сайтов WordPress, и только 25% владельцев устройств установили исправления.
LearnPress — это плагин LMS, который позволяет сайтам WordPress создавать и продавать онлайн-курсы, уроки и викторины, предлагая удобный интерфейс, не требуя от администраторов сайта знания программирования и разработки.
Уязвимости в LearnPress обнаружили эксперты Стек патчей В период с 30 ноября по 2 декабря 2022 года, о чем исследователи немедленно уведомили разработчиков плагина. Эти проблемы были устранены 20 декабря 2022 г. с выпуском LearnPress 4.2.0, однако, согласно Статистика WordPress.org, пока только 25% от общего числа сайтов установили исправления. То есть примерно 75 000 ресурсов по-прежнему используют уязвимые версии LearnPress, подвергая их серьезным рискам.
Первой уязвимостью, обнаруженной экспертами PatchStack, стала CVE-2022-47615 — ошибка включения локальных файлов без аутентификации, которая позволяет злоумышленникам просматривать содержимое локальных файлов, хранящихся на веб-сервере. Ошибка может раскрывать учетные данные, токены OT и ключи API, что приводит к дальнейшей компрометации.
Вторая критическая ошибка (CVE-2022-45808) — это SQL-инъекция без проверки подлинности, которая может привести к раскрытию конфиденциальной информации, модификации данных и выполнению произвольного кода. Уязвимость связана с функцией, обрабатывающей SQL-запросы сайта; Он некорректно очищает и проверяет переменную $filter в параметрах запроса, что позволяет злоумышленнику внедрить в нее вредоносный код.
Третья уязвимость, затрагивающая старые версии LearnPress, — CVE-2022-45820. Это еще одна инъекция SQL (на этот раз после аутентификации), обнаруженная в шорткодах двух плагинов (learn_press_recent_courses и Learn_press_featured_courses). Ошибка неправильно проверяет и очищает ввод переменной $args.
К счастью, использование этой уязвимости ограничено тем фактом, что злоумышленник должен иметь право редактировать или создавать новые записи в блоге, чтобы провести атаку.
Всем владельцам сайтов, использующих LearnPress, рекомендуется как можно скорее обновиться до версии 4.2.0 или вообще отключить плагин, пока они не смогут установить патч.