0

  • Votre panier est vide.

  • LOGIN

Les vulnérabilités du plugin LearnPress risquent de nombreux sites WordPress

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs ont découvert plusieurs vulnérabilités dans le plugin WordPress LearnPress, permettant des attaques par injection SQL et par inclusion de fichiers. Les développeurs du plugin ont corrigé la faille suite au rapport de bogue.

Vulnérabilités du plugin LearnPress

Selon un récent PatchStack consultatifleurs chercheurs ont découvert plusieurs vulnérabilités dans le plugin LearnPress WordPress.

LearnPress est un plugin gratuit dédié au système de gestion de l’apprentissage (LMS) pour la création de cours et la vente de sites Web. Il compte actuellement plus de 100 000 téléchargements actifs, ce qui signifie que toute vulnérabilité de ce plugin affecte directement des milliers de sites Web dans le monde.

Comme expliqué, les chercheurs ont trouvé trois problèmes de sécurité dans le plugin, dont les suivants.

  • CVE-2022-47615 (gravité : critique ; CVSS : 9.3) : une inclusion de fichier local non authentifié existait dans le inc/rest-api/v1/frontend/class-lp-rest-courses-controller.php une fonction list_courses. Un adversaire pourrait exploiter la faille pour afficher le contenu de fichiers locaux.
  • CVE-2022-45808 (gravité : critique ; CVSS : 9.9) : une injection SQL non authentifiée existait dans le inc/databases/class-lp-db.php une fonction execute. L’exploitation de la faille pourrait permettre à un adversaire d’accéder aux bases de données des sites Web cibles, de voler des données et de créer des comptes d’administrateur malveillants.
  • CVE-2022-45820 (gravité : critique ; CVSS 9.1) : une faille d’injection SQL authentifiée existait dans deux shortcodes, learn_press_recent_courses et learn_press_featured_courses. L’exploitation de la vulnérabilité pourrait permettre à un attaquant d’accéder aux bases de données des sites cibles et d’effectuer des actions malveillantes, notamment le vol de données ou la création de comptes d’administrateur.

Les chercheurs ont confirmé que les vulnérabilités restaient inexploitées dans la nature.

Les développeurs ont résolu les problèmes

Suite à cette découverte en novembre 2022, l’équipe PatchStack a signalé les vulnérabilités aux développeurs du plugin LearnPress. En réponse, ils ont corrigé les failles avec la sortie du plugin LearnPress version 4.2.0.

La page WordPress du plugin répertorie également la même version que la dernière version.

Pour l’instant, parmi les milliers d’utilisateurs actifs, le la page du plugin montre seuls 26,2% des utilisateurs ont mis à jour leurs sites Web. Les autres utilisent encore d’anciennes versions vulnérables, ce qui peut entraîner de graves dommages si les vulnérabilités sont attaquées.

Par conséquent, tous les utilisateurs doivent mettre à jour leurs sites Web avec cette version pour recevoir toutes les corrections de bogues.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

février 3, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)