WordPressで広く使用されているWPLMSおよびVibeBPプラグインに影響する一連の重大な脆弱性が、セキュリティ研究者によって特定されました。
これらのプラグインは、28,000件以上の販売実績を持つWPLMSプレミアムLMSテーマの重要な構成要素です。主に、オンラインコースの作成、受講者の管理、教育コンテンツの販売に利用されています。
現在は修正済みのこれらの脆弱性は、未承認のファイルアップロード、権限昇格、SQLインジェクション攻撃など、重大なリスクをもたらしていました。
特定された重大な脆弱性
PatchStackが発見した最も深刻な欠陥の一つは任意ファイルアップロードで、CVE-2024-56046などにより、攻撃者が悪意のあるファイルをアップロードでき、結果としてリモートコード実行(RCE)につながる可能性がありました。
CVE-2024-56043などの権限昇格の脆弱性により、未認証ユーザーや低権限ユーザーが自分の権限を管理者へ引き上げることが可能となり、サイトの完全な乗っ取りにつながる恐れがありました。SQLインジェクションの脆弱性も、CVE-2024-56042などが見つかっており、悪意のあるクエリを通じて機密性の高いデータベース情報が露出する可能性がありました。
これらの脆弱性は、登録フォームやREST APIエンドポイントなど、さまざまな機能で見つかりました。
研究者は合計18件の脆弱性を報告しており、そのうち複数が重大と判断されました。
WordPressセキュリティの詳細はこちら: WordPress Wofficeテーマのセキュリティ欠陥により緊急アップデートが促される
WPLMSおよびVibeBP向けのアップデートがリリース
これらの問題に対処するため、開発者はWPLMS(バージョン1.9.9.5.3)およびVibeBP(バージョン1.9.9.7.7)のアップデートを公開しました。
開発者は、より厳格な制御とセキュリティチェックを導入することで、これらの脆弱性に対処しました。
任意ファイルアップロードの欠陥については、アップロード可能なファイルタイプを制限し、権限チェックを追加し、場合によっては脆弱なコードを削除しました。権限昇格の問題は、登録時にロール制限を強制し、許可されるオプションのホワイトリストを実装することで緩和されました。SQLインジェクションのリスクに対しては、適切な入力エスケープを適用し、影響を受ける変数とコードを保護しました。
ユーザーは、サイトを保護するために、これらのパッチを直ちに適用するよう強く推奨されます。
同様の脆弱性を防ぐため、開発者には以下のセキュリティ対策を実装することが推奨されます:
-
ファイル名と種類を確認してファイルアップロードを制限する
-
登録プロセスおよびデフォルトロールにロールの許可リストを使用する
-
SQLクエリ内のすべてのユーザー入力をエスケープし、プリペアドステートメントを優先する
翻訳元: https://www.infosecurity-magazine.com/news/flaws-wordpress-plugins-wplms/
