Categorías: Actualidad

Las vulnerabilidades del complemento LearnPress ponen en riesgo muchos sitios de WordPress

Los investigadores descubrieron múltiples vulnerabilidades en el complemento de WordPress LearnPress, lo que permite la inyección de SQL y los ataques de inclusión de archivos. Los desarrolladores del complemento corrigieron la falla después del informe de error.

Vulnerabilidades del complemento LearnPress

Según un aviso reciente de PatchStack, sus investigadores han encontrado varias vulnerabilidades en el complemento LearnPress WordPress.

LearnPress es un complemento gratuito del sistema de gestión de aprendizaje (LMS) para crear cursos y vender sitios web. Actualmente cuenta con más de 100.000 descargas activas, lo que significa que cualquier vulnerabilidad en este complemento afecta directamente a miles de sitios web en todo el mundo.

Como se explicó, los investigadores encontraron tres problemas de seguridad en el complemento, incluidos los siguientes.

  • CVE-2022-47615 (Severidad: Crítica; CVSS: 9.3): Existía una inclusión de archivo local no autenticado en la función inc/rest-api/v1/frontend/class-lp-rest-courses-controller.php list_courses. Un adversario podría explotar la falla para mostrar el contenido de los archivos locales.
  • CVE-2022-45808 (gravedad: crítica; CVSS: 9.9): Existía una inyección SQL no autenticada en la función de ejecución inc/databases/class-lp-db.php. La explotación de la falla podría permitir que un adversario acceda a las bases de datos de los sitios web de destino, robe datos y cree cuentas de administrador maliciosas.
  • CVE-2022-45820 (Gravedad: crítica; CVSS 9.1): Existía una falla de inyección SQL autenticada en dos códigos abreviados, learn_press_recent_courses y learn_press_featured_courses. Explotar la vulnerabilidad podría permitir que un atacante obtenga acceso a las bases de datos del sitio de destino y realice acciones maliciosas, incluido el robo de datos o la creación de cuentas de administrador.

Los investigadores confirmaron que las vulnerabilidades permanecieron sin explotar en la naturaleza.

Los desarrolladores solucionaron los problemas.

Tras este descubrimiento en noviembre de 2022, el equipo de PatchStack informó sobre las vulnerabilidades a los desarrolladores del complemento LearnPress. En respuesta, corrigieron las fallas con el lanzamiento del complemento LearnPress versión 4.2.0.

La página de WordPress para el complemento también enumera la misma versión que la última versión.

Hasta ahora, entre los miles de usuarios activos, la página del complemento muestra que solo el 26,2% de los usuarios han actualizado sus sitios web. Los otros todavía usan versiones vulnerables antiguas, lo que puede provocar daños graves si se atacan las vulnerabilidades.

Por lo tanto, todos los usuarios deben actualizar sus sitios web a esta versión para recibir todas las correcciones de errores.

Háganos saber sus pensamientos en los comentarios.

Fuente

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Compartir
Publicado por
WP Dev JaGonzalez

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

3 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

3 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace