Десетки хиляди уебсайтове на WordPress са уязвими на множество пропуски с висока степен на сериозност, открити в популярен плъгин, твърдят изследователи по сигурността.
Експерти от PatchStack откриха три уязвимости в LearnPress, плъгин за система за управление на обучението, който позволява на хора без почти никакви познания по кодиране да продават онлайн курсове и уроци чрез своите уебсайтове на WordPress.
Пачът за недостатъците в създателя на уебсайтове е наличен повече от месец, но изследователите предупреждават, че само (значително) малцинство са го приложили досега.
Налична е корекция
Въпросните три уязвимости са CVE-2022-47615, уязвимост, която позволява на участниците в заплахата да преглеждат идентификационни данни, токени за удостоверяване, API ключове и други подобни; CVE-2022-45808, неавтентифицирана уязвимост при инжектиране на SQL, която позволява произволно изпълнение на код, и CVE-2022-45820, удостоверена грешка при инжектиране на SQL, която също може да доведе до извличане на данни и изпълнение на произволен код.
PatchStack откри пропуските между 30 ноември и 2 декември 2022 г. и скоро след това съобщи за тях на LearnPress. Компанията се върна с поправка на 20 декември, пренасяйки LearnPress до версия 4.2.0. Досега обаче само 25% от уебсайтовете са актуализирали приставката, BleepingComputer съобщи, цитирайки статистически данни на WordPress.org.
Като се има предвид, че приблизително 100 000 уебсайта в момента активно използват приставката, това ще доведе до общия брой на все още уязвимите уебсайтове до приблизително 75 000. Тъй като това са пропуски с висока степен на сериозност със сериозни последствия, уеб администраторите се приканват незабавно да приложат корекцията или да деактивират приставката, докато не го направят.
WordPress е най-популярната платформа за изграждане на уебсайтове в света и като такава е привлекателна цел за киберпрестъпниците. Докато самият WordPress е сравнително сигурен (по-малко от 1% от всички недостатъци, свързани с WP, попадат на платформата), неговите добавки (и безплатни добавки, за да бъдем по-точни) обикновено са най-слабото звено. Въпреки че предоставят безброй допълнителни функции на платформата, от първостепенно значение е уеб администраторите да изберат правилните и да се уверят, че те винаги се актуализират.
Чрез: BleepingComputer (отваря се в нов раздел)
