İki WordPress eklentisinde 18 güvenlik açığı bulundu
Çoğu kritik olarak değerlendiriliyor, çünkü RCE’ye izin veriyorlar, diğer şeyler arasında
Tüm güvenlik açıkları şimdi düzeltilmiştir, bu nedenle eklentilerinizi güncellediğinizden emin olun

İki premium WordPress eklentisinde ondan fazla zafiyet bulundu, bunlardan bazıları kritik olarak değerlendirildi. Bu bilgiler, Mart 2024’ün sonlarında web sitesinden güvenlik verileri sağlayıcısı Patchstack tarafından bulundu ve geliştiricilere bildirildi. O zamandan beri tüm hatalar önlenmiştir. Hatalar WPLMS ve VibeBP eklentilerinde bulunmuştur.

Eklentileri Güncelleme
WordPress, Öğrenme Yönetim Sistemleri (LMS) için izin verir; kullanıcıların WordPress web sitelerinden doğrudan çevrimiçi dersler oluşturmalarını, yönetmelerini ve satmalarını sağlayan platformlar. LMS eklentileri, eğitimsel özellikleri ve işlevleri WordPress ile bütünleştirir, böylece eğitmenlerin veya organizasyonların dersleri sunmalarını, öğrenci ilerlemelerini izlemelerini ve öğrencilere etkili bir şekilde katılmalarını sağlar.

Çevrimiçi ders platformlarından en popülerlerinden biri WPLMS’dir, VibeThemes tarafından yapılmıştır. Zaten 28.000’den fazla kez satın alınmıştır ve kurs oluşturma ve yönetme, quizler ve değerlendirmeler, üyelik ve abonelik desteği gibi birçok özelliğe sahiptir.

Diğer yandan, VibeBP, BuddyPress’i WPLMS ile birleştiren bir WordPress eklentisidir. Sosyal öğrenme özelliklerini güçlendiren bu eklenti, kullanıcıların profil oluşturmasını, etkinlik akışlarını, özel mesajlaşmayı ve bildirimleri sağlayarak topluluklar oluşturmalarına olanak tanır. Bu da VibeThemes tarafından geliştirilmiştir.

Patchstack’e göre 18 zafiyet bulundu, çoğunlukla ciddi düzeydeydi. Bunlar, uzaktan kimlik doğrulamasız saldırganların keyfi dosyalar yükleme, kod çalıştırma, hakları yükseltme ve SQL enjeksiyonları gerçekleştirmelerini sağlıyordu. Yani, saldırganlar siteleri ele geçirerek hassas verileri çalmak gibi işlemleri gerçekleştirebilirlerdi. CVE-2024-56046 kodlu bir hata, keyfi dosyalar yükleme imkanı sağladığından en yüksek puan olan 10/10 aldı ve bu da potansiyel olarak uzaktan kod yürütme (RCE) ile sonuçlanabilir.

Vulnerability listesi ve etkilenen sürümler, bu linkte bulunabilir. WPLMS kullanıcıları, platformlarının 1.9.9.5.3 veya daha yeni sürümlerine yükseltildiğinden emin olmalıdır, VibeBP ise 1.9.9.7.7 veya daha yeni sürümlerine.

Kurallar gereği, site sahiplerinin güvenli dosya yükleme, SQL sorgusu temizliği ve rol bazlı erişim kontrollerini uygulamaları önerildi. BleepingComputer aracılığıyla.