- Se descubrió que dos complementos de WordPress tenían 18 fallas de seguridad
- La mayoría de ellos se consideran críticos, ya que permiten que RCE, entre otras cosas
- Todos ya están arreglados, así que asegúrese de actualizar sus complementos.
Se descubrió que dos complementos premium de WordPress tenían más de una docena de vulnerabilidades, algunas de las cuales se consideraron críticas.
Así lo afirma la plataforma de ciberseguridad de WordPress, Patchstack, que encontró los problemas en el creador de sitios web a finales de marzo de 2024 y los informó a los desarrolladores. Desde entonces, se han solucionado todos los errores.
Los errores se encontraron en los complementos WPLMS y VibeBP.
Actualizar complementos
WordPress habilita los sistemas de gestión de aprendizaje (LMS), plataformas que permiten a los usuarios crear, administrar y vender cursos en línea directamente desde su sitio de WordPress. Los complementos de LMS integran características y funcionalidades educativas con WordPress, lo que permite a los instructores u organizaciones impartir cursos, realizar un seguimiento del progreso de los alumnos e involucrarlos de manera efectiva.
Una de las plataformas LMS más populares es WPLMS, creada por una empresa llamada VibeThemes. Ya se ha comprado más de 28.000 veces y viene con muchas funciones, como creación y administración de cursos, cuestionarios y evaluaciones, soporte para membresías y suscripciones, y más.
VibeBP, por otro lado, es un complemento de WordPress que integra BuddyPress con WPLMS, mejorando sus funciones de aprendizaje social. Permite a los usuarios crear comunidades al brindar opciones para perfiles de usuario, flujos de actividad, mensajes privados y notificaciones. También está construido por VibeThemes.
Patchstack dice que encontró 18 vulnerabilidades, la mayoría de las cuales eran de gravedad crítica.
Permitieron a atacantes remotos y no autenticados cargar archivos arbitrarios, ejecutar código, escalar privilegios y realizar inyecciones SQL. En otras palabras, pueden utilizar errores para apoderarse de sitios web, robar datos confidenciales y más. Un error, CVE-2024-56046, incluso recibió la puntuación máxima, 10/10, porque permite a actores maliciosos cargar archivos arbitrarios sin autenticación, lo que podría conducir a la ejecución remota de código (RCE).
La lista completa de vulnerabilidades, así como las versiones afectadas, se puede encontrar en este enlace.
Los usuarios de WPLMS deben asegurarse de que su plataforma esté actualizada a la versión 1.9.9.5.3 o superior, y VibeBP a la versión 1.9.9.7.7 o superior.
Como regla general, los propietarios de sitios web deben imponer cargas seguras de archivos, saneamiento de consultas SQL y controles de acceso basados en roles, dijo Patchstack.
a través de pitidocomputadora