Otkrivene kritične ranjivosti u premium WordPress dodacima
U svijetu WordPressa, sigurnost je od ključne važnosti, posebno kada se radi o premium dodacima koji se koriste za poboljšanje funkcionalnosti web stranica. Nedavno su dva popularna WordPress dodatka otkrila više od desetak ranjivosti, od kojih su neke oznake kritične. Ova saznanja dolaze iz WordPress cyber sigurnosne platforme Patchstack, koja je identificirala probleme u kraju ožujka 2024. godine i već je obavijestila developere. Od tada su sve greške riješene.
Ranjivosti u WPLMS i VibeBP dodacima
Ranjivosti su otkrivene u dodatcima WPLMS i VibeBP. Ovi dodaci omogućuju korisnicima da kreiraju sustave za upravljanje učenjem (LMS), što omogućava izradu, upravljanje i prodaju online tečajeva izravno s WordPress web stranice. LMS dodaci integriraju obrazovne značajke i funkcionalnosti s WordPressom, omogućujući instruktorima i organizacijama da učinkovito nude tečajeve, prate napredak učenika i angažiraju studente.
WPLMS je jedan od popularnijih LMS platformi, razvijen od strane tvrtke VibeThemes. Do danas je kupljen više od 28,000 puta i dolazi s brojnim funkcijama kao što su kreiranje i upravljanje tečajevima, kvizovi i procjene, podrška za članstvo i pretplate, i još mnogo toga. S druge strane, VibeBP je dodatak koji integrira BuddyPress s WPLMS-om, poboljšavajući njegove mogućnosti društvenog učenja. Ovaj dodatak omogućava korisnicima stvaranje zajednica, nudeći opcije za korisničke profile, tokove aktivnosti, privatne poruke i obavijesti.
Težina ranjivosti i preporučene mjere
Patchstack je otkrio 18 ranjivosti, većina s kritičnom ozbiljnošću. Ove ranjivosti omogućile su udaljenim, neautoriziranim napadačima da prenose proizvoljne datoteke, izvršavaju kod, eskaliraju privilegije i izvode SQL injekcije. Drugim riječima, napadači su mogli iskoristiti ove greške kako bi preuzeli web stranice, ukrali osjetljive podatke i još više. Jedna ranjivost, pod oznakom CVE-2024-56046, čak je dobila maksimalnu ocjenu 10/10, budući da omogućava zlonamjernim akterima da prenose proizvoljne datoteke bez autentifikacije, što potencijalno dovodi do daljinskog izvršavanja koda (RCE).
Popis svih ranjivosti, uključujući pogođene verzije, može se pronaći ovdje. Korisnici WPLMS-a trebaju osigurati da im je platforma ažurirana na verziju 1.9.9.5.3 ili noviju, a VibeBP na verziju 1.9.9.7.7 ili noviju.
Zaključak: Čuvanje sigurnosti vaše web stranice
Općenito, vlasnici web stranica trebaju primijeniti preporučene sigurnosne mjere kao što su osiguranje sigurnih prijenosa datoteka, sanitizacija SQL upita i upravljanje pristupom na temelju uloga. Za više informacija o cyber sigurnosti i zaštiti web stranica, pratite našu stranicu za najnovije vijesti i savjete!