WordPress, 75 mila siti a rischio per tre vulnerabilità nel plug-in LearnPress

WordPress, 75 mila siti a rischio per tre vulnerabilità nel plug-in LearnPress

Le vulnerabilità sono già state corrette con una patch, che tuttavia è stata applicata solamente nel 25% delle installazioni

di pubblicata il , alle 08:01 nel canale Sicurezza
WordPress
 

Il plug-in LearnPress per WordPress è stato oggetto di varie vulnerabilità piuttosto gravi che, se sfruttate, possono portare ad esiti nefasti per il sito web su cui si trova installato. LearnPress è un plug-in che permette di creare e vendere in maniera semplice corsi, lezioni e quiz, mettendo a disposizione dei visitatori un'interfaccia facile da usare senza che il gestore del sito debba avere particolari conoscenze di programmazione.

Le vulnerabilità di LearnPress sono state scoperte da PatchStack tra il 30 novembre e il 2 dicembre scorsi, e prontamente segnalate al fornitore del plug-in. La patch correttiva è stata emessa il 20 dicembre 2020, portando LearnPress alla versione 4.2.0. Tuttavia la nuova versione è stata applicata solamente nel 25% delle installazioni di LearnPress lasciando così un totale di 75 mila siti web vulnerabili.

Le falle a carico delle versioni di LearnPress precedenti alla 4.2.0 sono tre. La prima, tracciata con il codice CVE-2022-47615, è un problema relativo a Local File Inclusion che permette ad un aggressore di visualizzare il contenuto dei file locali archiviati sul server web, portando alla possibile esposizione di credenziali, token di autorizzazione e chiavi API.  La seconda falla e la terza falla, CVE-2022-45808 e CVE-2022-45820,  sono di tipo SQL injection che potrebbero portare ad accedere ad informazioni sensibili, alla modifica di dati e all'esecuzione di codice arbitrario.

Per chi utilizza LearnPress il suggerimento è quello di verificare la versione in uso, e nel caso aggiornare immediatamente alla versione 4.2.0 o di disabilitare il plug-in nel caso non sia possibile applicare l'aggiornamento immediatamente.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^