✔75 тысяч сайтов на WordPress уязвимы для хакерских атак - «Новости мира Интернет»

29 января 2023 465 Новости 0

Критические баги в плагине LearnPress, который используется на 100 000+ ресурсов, обнаружили еще в конце 2022 года. После этого производитель выпустил патч, который установили лишь 25% владельцев сайтов, сообщает Хакер.

LearnPress – это бесплатный популярный плагин, который позволяет сайтам создавать и продавать онлайн-курсы, викторины и уроки. Исследователи компании Patchstack еще в ноябре и декабре прошлого года выявили в LearnPress ряд уязвимостей, о чем сразу же уведомили создателей плагина. Исправленная версия – LearnPress 4.2.0 – появилась 20 декабря, но по данным WordPress.org, около 75 000 сайтов все еще пользуются небезопасным вариантом плагина.

Всего эксперты Patchstack нашли три уязвимости:

CVE-2022-47615 – ошибка включения локальных файлов без аутентификации. Это дает возможность третьим лицам видеть содержимое локальных файлов, которые хранятся на веб-сервере.

CVE-2022-45808 – SQL-инъекция без аутентификации, которая может привести к раскрытию конфиденциальной информации или выполнению произвольного кода.

CVE-2022-45820 – аутентифицированная SQL-инъекция, которая не разрешает должным образом проверить и очистить ввод переменной $args.

Всем владельцам ресурсов, использующим плагин LearnPress, рекомендуется оперативно обновить его до версии 4.2.0, либо вовсе временно отключить дополнение, пока не будет установлен патч.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Критические баги в плагине LearnPress, который используется на 100 000 ресурсов, обнаружили еще в конце 2022 года. После этого производитель выпустил патч, который установили лишь 25% владельцев сайтов, сообщает Хакер. LearnPress – это бесплатный популярный плагин, который позволяет сайтам создавать и продавать онлайн-курсы, викторины и уроки. Исследователи компании Patchstack еще в ноябре и декабре прошлого года выявили в LearnPress ряд уязвимостей, о чем сразу же уведомили создателей плагина. Исправленная версия – LearnPress 4.2.0 – появилась 20 декабря, но по данным WordPress.org, около 75 000 сайтов все еще пользуются небезопасным вариантом плагина. Всего эксперты Patchstack нашли три уязвимости: CVE-2022-47615 – ошибка включения локальных файлов без аутентификации. Это дает возможность третьим лицам видеть содержимое локальных файлов, которые хранятся на веб-сервере. CVE-2022-45808 – SQL-инъекция без аутентификации, которая может привести к раскрытию конфиденциальной информации или выполнению произвольного кода. CVE-2022-45820 – аутентифицированная SQL-инъекция, которая не разрешает должным образом проверить и очистить ввод переменной $args. Всем владельцам ресурсов, использующим плагин LearnPress, рекомендуется оперативно обновить его до версии 4.2.0, либо вовсе временно отключить дополнение, пока не будет установлен патч.