As vulnerabilidades estavam relacionadas ao escalonamento de privilégios e à criação e modificação de postagens.

Recentemente, o LearnPress – WordPress LMS Plugin , um plugin do WordPress com mais de 80.000 instalações, corrigiu uma vulnerabilidade de alta gravidade. A falha dava permissão aos usuários de nível assinante elevarem suas permissões às de “LP Instructor”. Tal função tem recursos semelhante à função de “autor” do WordPress, incluindo a capacidade de fazer upload de arquivos e criar postagens em código HTML, os quais poderiam ser usadas ​​como parte de uma cadeia de exploração, permitindo a tomada do site.

A equipe de inteligência contra ameaças da Defiant, empresa desenvolvedora da ferramenta de segurança para WordPress, o Wordfence, descobriu duas novas vulnerabilidades.

Uma das vulnerabilidades permitia ao invasor elevar as permissões de qualquer usuário ao “LP Instructor”. A outra permitia que um usuário conectado com permissões mínimas, como um assinante, criasse novas páginas no site e alterasse o status de qualquer postagem ou página existente.

Recomenda-se a atualização imediata para a nova versão, a fim de corrigir os problemas de segurança.

ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.

Posta Relacionados:

Symantec lança atualização de segurança para o Endpoint Protection
Adobe lança atualizações de segurança para o Acrobat Reader e Digital Editions
Já pensou em desinstalar o Adobe Flash Player?
A Oracle corrige lança Critical Patch Update para corrigir 136 vulnerabilidades
Encontradas falhas de segurança no App iOS Mail
Lançamento do WordPress 5.4.1 corrige várias vulnerabilidades
Cisco corrige vulnerabilidade de vários produtos
Mozilla anuncia mudanças no programa de recompensas de bugs do Firefox