Критические баги в плагине LearnPress, который используется на 100 000+ ресурсов, обнаружили еще в конце 2022 года. После этого производитель выпустил патч, который установили лишь 25% владельцев сайтов, сообщает Хакер.
LearnPress – это бесплатный популярный плагин, который позволяет сайтам создавать и продавать онлайн-курсы, викторины и уроки. Исследователи компании Patchstack еще в ноябре и декабре прошлого года выявили в LearnPress ряд уязвимостей, о чем сразу же уведомили создателей плагина. Исправленная версия – LearnPress 4.2.0 – появилась 20 декабря, но по данным WordPress.org, около 75 000 сайтов все еще пользуются небезопасным вариантом плагина.
Всего эксперты Patchstack нашли три уязвимости:
- CVE-2022-47615 – ошибка включения локальных файлов без аутентификации. Это дает возможность третьим лицам видеть содержимое локальных файлов, которые хранятся на веб-сервере.
- CVE-2022-45808 – SQL-инъекция без аутентификации, которая может привести к раскрытию конфиденциальной информации или выполнению произвольного кода.
- CVE-2022-45820 – аутентифицированная SQL-инъекция, которая не разрешает должным образом проверить и очистить ввод переменной $args.
Всем владельцам ресурсов, использующим плагин LearnPress, рекомендуется оперативно обновить его до версии 4.2.0, либо вовсе временно отключить дополнение, пока не будет установлен патч.
Комментарии