As vulnerabilidades estavam relacionadas ao escalonamento de privilégios e à criação e modificação de postagens.

Recentemente, o LearnPress – WordPress LMS Plugin , um plugin do WordPress com mais de 80.000 instalações, corrigiu uma vulnerabilidade de alta gravidade. A falha dava permissão aos usuários de nível assinante elevarem suas permissões às de “LP Instructor”. Tal função tem recursos semelhante à função de “autor” do WordPress, incluindo a capacidade de fazer upload de arquivos e criar postagens em código HTML, os quais poderiam ser usadas ​​como parte de uma cadeia de exploração, permitindo a tomada do site.

A equipe de inteligência contra ameaças da Defiant, empresa desenvolvedora da ferramenta de segurança para WordPress, o Wordfence, descobriu duas novas vulnerabilidades.

Uma das vulnerabilidades permitia ao invasor elevar as permissões de qualquer usuário ao “LP Instructor”. A outra permitia que um usuário conectado com permissões mínimas, como um assinante, criasse novas páginas no site e alterasse o status de qualquer postagem ou página existente.

Recomenda-se a atualização imediata para a nova versão, a fim de corrigir os problemas de segurança.


ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.