Deux plugins WordPress requis par le thème WordPress premium WPLMS, qui compte plus de 28 000 ventes, sont vulnérables à plus d’une douzaine de vulnérabilités de gravité critique.

Les bogues pourraient permettre à un attaquant distant et non authentifié de télécharger des fichiers arbitraires sur le serveur, d’exécuter du code, d’élever les privilèges au niveau administrateur et d’effectuer des injections SQL.

Le thème WPLMS est un système de gestion de l’apprentissage (LMS) pour WordPress, utilisé principalement par les établissements d’enseignement, les entreprises proposant des formations et les prestataires de formation en ligne. Il offre également une intégration avec WooCommerce pour la vente de cours.

Vulnérabilités dans le thème WPLMS
Les chercheurs en vulnérabilité de la pile de correctifs ont découvert un total de 18 problèmes de sécurité dans les plugins PALMS et vidéo et présentent dans un récent rapport 10 des plus importants.

Voici un résumé des failles impactant le thème WPLMS:

  1. CVE-2024-56046 (CVSS 10.0): Permet aux attaquants de télécharger des fichiers malveillants sans authentification, conduisant potentiellement à l’exécution de code à distance (RCE).
  2. CVE-2024-56050 (CVSS 9.9): Les utilisateurs authentifiés disposant de privilèges d’abonné peuvent télécharger des fichiers, en contournant les restrictions.
  3. CVE-2024-56052 (CVSS 9.9): Similaire à Subscriber + mais exploitable par les utilisateurs avec des rôles d’étudiant.
  4. CVE-2024-56043 (CVSS 9.8): Les attaquants peuvent s’inscrire en tant que n’importe quel rôle, y compris Administrateur, sans authentification.
  5. CVE-2024-56048 (CVSS 8.8): Les utilisateurs à faible privilège peuvent accéder à des rôles plus élevés, tels qu’administrateur, en exploitant une validation de rôle faible.
  6. CVE-2024-56042 (CVSS 9.3): Les attaquants peuvent injecter des requêtes SQL malveillantes pour extraire des données sensibles ou compromettre la base de données.
  7. CVE-2024-56047 (CVSS 8.5): Les utilisateurs à faible privilège peuvent exécuter des requêtes SQL, compromettant potentiellement l’intégrité ou la confidentialité des données.
Démo de l’exploitation CVE-2024-56046

Et pour VibeBP:

  1. CVE-2024-56040 (CVSS 9.8): Les attaquants peuvent s’inscrire en tant qu’utilisateurs privilégiés sans authentification.
  2. CVE-2024-56039 (CVSS 9.3): Les requêtes SQL peuvent être injectées par des utilisateurs non authentifiés, exploitant des entrées mal nettoyées.
  3. CVE-2024-56041 (CVSS 8.5): Les utilisateurs authentifiés disposant de privilèges minimaux peuvent effectuer une injection SQL pour compromettre ou extraire des informations de base de données.
Utilisation de CVE-2024-56039 pour l’injection SQL

Les utilisateurs de WPLMS doivent passer à la version 1.9.9.5.3 et plus récente, tandis que VibeBP doit être mis à niveau vers la version 1.9.9.7.7 ou ultérieure.

En tant que conseil de sécurité général, la pile de correctifs suggère que les sites Web appliquent des téléchargements de fichiers sécurisés, une assainissement des requêtes SQL et des contrôles d’accès basés sur les rôles.

La pile de correctifs a trouvé les vulnérabilités et le 31 mars a informé VibeThemes, le développeur de WPLMS, des problèmes. Entre avril et novembre, le développeur a testé plusieurs correctifs jusqu’à ce qu’il soit en mesure de corriger toutes les vulnérabilités.

VibeThemes a collaboré avec Patch stack pour s’assurer que le correctif fourni corrige tous les bogues.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *