【超2.8万网站受影响,速升级修复!】
安全圈再次敲响警钟!近日,知名 WordPress 安全公司 Patchstack 披露,广受欢迎的在线教育主题 WPLMS 及其配套插件 VibeBP 存在 18 个严重安全漏洞,其中 7 个被评为“危急”等级!攻击者可利用这些漏洞无需登录就上传恶意文件、执行代码、获取管理员权限,甚至执行 SQL 注入,从而完全控制受影响的网站!
WPLMS 是一款专为 WordPress 打造的学习管理系统(LMS)主题,因其功能强大、易于使用而备受青睐,全球销量超过 2.8 万,被广泛应用于各大教育机构、企业培训平台以及在线教育机构。其与 WooCommerce 的集成也使得在线销售课程变得轻而易举。
漏洞细节触目惊心,潜在危害极大!
Patchstack 的安全研究人员对 WPLMS 主题及 VibeBP 插件进行了深入分析,并公布了其中 10 个最为严重的漏洞,以下是漏洞的详细信息:
WPLMS 主题漏洞:
- CVE-2024-56046(CVSS 评分 10.0,最高级!):
允许攻击者无需任何身份验证即可上传恶意文件,可能导致远程代码执行 (RCE),后果不堪设想! - CVE-2024-56050(CVSS 评分 9.9):
已认证的订阅者用户可以绕过文件上传限制。 - CVE-2024-56052(CVSS 评分 9.9):
与上一个漏洞类似,但可被拥有“学生”角色的用户利用。 - CVE-2024-56043(CVSS 评分 9.8):
攻击者可以无需身份验证注册为任意角色,包括管理员! - CVE-2024-56048(CVSS 评分 8.8):
低权限用户可以利用角色验证机制的缺陷,将权限提升至更高的级别,例如管理员。 - CVE-2024-56042(CVSS 评分 9.3):
攻击者可以注入恶意 SQL 查询语句,从而窃取敏感数据或直接破坏数据库。 - CVE-2024-56047(CVSS 评分 8.5):
低权限用户可以执行 SQL 查询,可能破坏数据的完整性或机密性。
VibeBP 插件漏洞:
- CVE-2024-56040(CVSS 评分 9.8):
攻击者可以无需身份验证注册为特权用户。 - CVE-2024-56039(CVSS 评分 9.3):
未经身份验证的用户可以利用未正确过滤的输入执行 SQL 注入攻击。 - CVE-2024-56041(CVSS 评分 8.5):
仅拥有最低权限的认证用户也可以执行 SQL 注入,从而破坏或窃取数据库信息。
修复方案已发布,请立即行动!
Patchstack 早在 3 月 31 日就将这些漏洞报告给了 WPLMS 的开发商 Vibe Themes。经过长达数月的修复和测试,Vibe Themes 终于发布了安全更新。
所有使用 WPLMS 主题和 VibeBP 插件的网站管理员,请务必立即采取以下措施:
- 将 WPLMS 主题更新至 1.9.9.5.3 或更高版本。
- 将 VibeBP 插件更新至 1.9.9.7.7 或更高版本。
安全无小事,防患于未然!
Patchstack 强烈建议所有网站管理员采取以下安全措施,以加强网站的安全防护:
- 实施严格的文件上传安全策略:
限制可上传的文件类型、大小,并进行严格的安全检查。 - 对所有 SQL 查询进行严格的过滤和转义:
防止 SQL 注入攻击。 - 采用基于角色的访问控制 (RBAC):
确保用户只能访问其权限范围内的资源。 - 定期进行安全漏洞扫描和渗透测试:
及时发现并修复潜在的安全隐患。
这次 WPLMS 漏洞事件再次警示我们,即使是广泛使用的 WordPress 主题和插件也可能存在严重的安全漏洞。 网站安全需要时刻保持警惕,及时更新、加强防护,才能有效保护网站和用户数据的安全!
原文始发于微信公众号(技术修道场):紧急预警!热门 WordPress 教育主题 WPLMS 曝严重漏洞,可被黑客完全控制!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论