28,000以上の売上を誇るWordPressのプレミアムテーマ「WPLMS」に必要な2つのWordPressプラグインに、10以上の重大な脆弱性が存在します。
これらのバグは、リモートの認証されていない攻撃者が、サーバーに任意のファイルをアップロードしたり、コードを実行したり、管理者レベルに特権を昇格させたり、SQLインジェクションを実行したりすることを可能にする可能性があります。
WPLMSテーマはWordPress用の学習管理システム(LMS)で、主に教育機関、研修を提供する企業、eラーニングプロバイダーによって使用されています。また、コースを販売するためのWooCommerceとの統合も提供しています。
WPLMSテーマの脆弱性
Patchstackの脆弱性研究者は、WPLMSとVibeBPプラグインに合計18のセキュリティ問題を発見し、最近のレポートで最も重要なもの10個を紹介しています。
WPLMSテーマに影響する欠陥の概要は以下の通りです:
- CVE-2024-56046 (CVSS 10.0):cve-2024-56046 (cvss 10.0):攻撃者が認証なしに悪意のあるファイルをアップロードすることを可能にし、潜在的にリモートコード実行 (RCE) を引き起こします。
- cve-2024-56050 (cvss 9.9):cve-2024-56052 (cvss 9.9): サブスクライバ権限を持つ認証済みユーザが、制限を回避してファイルをアップロードできてしまう可能性があります。
- CVE-2024-56052 (CVSS 9.9):subscriber+ に類似していますが、学生ロールを持つユーザが悪用可能です。
- CVE-2024-56043 (CVSS 9.8):cve-2024-56043 (cvss 9.8): 攻撃者は、管理者を含む任意のロールを認証なしで登録することができます。
- cve-2024-56048 (cvss 8.8):cve-2024-56042 (cvss 8.8): 権限の低いユーザが、弱いロール検証を悪用することで、 管理者などの高いロールにエスカレートできてしまう可能性があります。
- CVE-2024-56042 (CVSS 9.3):攻撃者は悪意のある SQL クエリを注入することで、機密データを抜き出したり、 データベースを侵害したりすることができます。
- CVE-2024-56047 (CVSS 8.5):攻撃者は悪意のある SQL クエリを注入し、機密データを抜き取ったり、 データベースを侵害したりする可能性があります:cve-2024-56047 (cvss 8.5): 低特権ユーザが SQL クエリを実行する可能性があり、データの完全性や機密性を脅かす可能性があります。
ソースはこちら:パッチスタック
そしてVibeBP には
- CVE-2024-56040 (CVSS 9.8):攻撃者は認証なしに特権ユーザとして登録できる。
- CVE-2024-56039 (CVSS 9.3):認証されていないユーザが、サニタイズされていない入力を悪用して SQL クエリを注入する可能性があります。
- cve-2024-56041 (cvss 8.5):CVE-2024-56041 (CVSS 8.5):最小限の権限しか持たない認証済みユーザが SQL インジェクションを実行することで、データベースの情報を漏洩させたり抜き取ったりできます。
ソースはこちら:パッチスタック
WPLMSのユーザはバージョン1.9.9.5.3以降に、VibeBPは1.9.9.7.7以降にアップグレードしてください。
一般的なセキュリティ上のアドバイスとして、Patchstackは、ウェブサイトが安全なファイルアップロード、SQLクエリのサニテーション、ロールベースのアクセス制御を実施することを推奨している。
Patchstackは脆弱性を発見し、3月31日にWPLMSの開発元であるVibe Themese社に通知した。4月から11月にかけて、開発者はすべての脆弱性を修正できるまで複数のパッチをテストした。
Vibe ThemesはPatchstackと協力し、配信された修正パッチがすべてのバグに対応していることを確認した。
Comments