WordPress 75 mila siti a rischio plug-in LearnPress
Il plug-in LearnPress per WordPress è stato oggetto di tre vulnerabilità gravi, 75 mila siti sono vulnerabili perché non hanno aggiornato.
WordPress: gravi falle sulla vecchia versione di LearnPress
Per chi non ne fosse a conoscenza, LearnPress è un plug-in che permette di creare e vendere in maniera semplice corsi, lezioni e quiz, offrendo ai visitatori del sito Web che ne fa uso un'interfaccia facile da usare senza che chi gestisce il portale debba avere particolari conoscenze di programmazione.
A scoprire le falle è stato PatchStack tra il 30 novembre e il 2 dicembre del 2022 e la situazione è stata prontamente segnalata al fornitore del plug-in.
La patch correttiva è stata rilasciata il 20 dicembre 2022, portando LearnPress alla versione 4.2.0, ma ad oggi la nuova versione è stata applicata solo nel 25% delle installazioni di LearnPress, per cui attualmente vi sono ancora 75 mila siti vulnerabili.
Le falle che interessano la vecchia versione di LearnPress sono:
La prima, siglata come CVE-2022-47615, è un problema relativo a Local File Inclusion che consente a un aggressore di visualizzare il contenuto dei file locali archiviati sul server Web, portando alla possibile esposizione di credenziali, token di autorizzazione e chiavi API.
La seconda falla e la terza falla, siglate come CVE-2022-45808 e CVE-2022-45820, sono di tipo SQL injection e possono portare ad accedere ad informazioni sensibili, alla modifica di dati e all'esecuzione di codice arbitrario.
Aggiornamenti
link: https://wordpress.org/plugins/learnpress/