Zwei Premium-WordPress-Plugins wurden mit mehr als einem Dutzend Sicherheitslücken gefunden, von denen einige als kritisch eingestuft wurden. Dies geht aus einem Bericht der WordPress-Cybersicherheitsplattform Patchstack hervor, die die Probleme im Website-Builder Ende März 2024 entdeckte und an die Entwickler meldete. Seitdem wurden alle Fehler behoben. Die Fehler wurden in den Plugins WPLMS und VibeBP gefunden.

Aktualisierung der Plugins
WordPress ermöglicht Learning-Management-Systeme (LMS), Plattformen, die es Benutzern ermöglichen, Online-Kurse direkt von ihrer WordPress-Website aus zu erstellen, zu verwalten und zu verkaufen. LMS-Plugins integrieren Bildungsmerkmale und Funktionen in WordPress, so dass Dozenten oder Organisationen Kurse durchführen, den Lernfortschritt verfolgen und die Schüler effektiv einbinden können. Eine der beliebtesten LMS-Plattformen ist WPLMS, die von einem Unternehmen namens VibeThemes entwickelt wurde. Mit mehr als 28.000 Verkäufen verfügt sie bereits über zahlreiche Funktionen wie Kurserstellung und -verwaltung, Quizze und Bewertungen, Unterstützung für Mitgliedschaften und Abonnements und mehr. VibeBP hingegen ist ein WordPress-Plugin, das BuddyPress mit WPLMS integriert und seine sozialen Lernfunktionen verbessert. Es ermöglicht Benutzern, durch Bereitstellung von Optionen für Benutzerprofile, Aktivitätsströme, private Nachrichten und Benachrichtigungen Gemeinschaften zu schaffen. Laut Patchstack wurden 18 Sicherheitslücken entdeckt, von denen die meisten als kritisch bezeichnet wurden.

Es wird empfohlen, dass WPLMS-Benutzer sicherstellen, dass ihre Plattform auf die Version 1.9.9.5.3 oder neuer aktualisiert wird, und VibeBP auf 1.9.9.7.7 oder neuer aktualisiert wird. Als Faustregel sollten Website-Besitzer sichere Datei-Uploads, SQL-Abfrage-Säuberung und rollenbasierte Zugriffskontrollen durchsetzen.

Quelle: BleepingComputer