As vulnerabilidades estavam relacionadas ao escalonamento de privilégios e à criação e modificação de postagens.

Recentemente, o LearnPress – WordPress LMS Plugin , um plugin do WordPress com mais de 80.000 instalações, corrigiu uma vulnerabilidade de alta gravidade. A falha dava permissão aos usuários de nível assinante elevarem suas permissões às de “LP Instructor”. Tal função tem recursos semelhante à função de “autor” do WordPress, incluindo a capacidade de fazer upload de arquivos e criar postagens em código HTML, os quais poderiam ser usadas ​​como parte de uma cadeia de exploração, permitindo a tomada do site.

A equipe de inteligência contra ameaças da Defiant, empresa desenvolvedora da ferramenta de segurança para WordPress, o Wordfence, descobriu duas novas vulnerabilidades.

Uma das vulnerabilidades permitia ao invasor elevar as permissões de qualquer usuário ao “LP Instructor”. A outra permitia que um usuário conectado com permissões mínimas, como um assinante, criasse novas páginas no site e alterasse o status de qualquer postagem ou página existente.

Recomenda-se a atualização imediata para a nova versão, a fim de corrigir os problemas de segurança.

ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.

Posta Relacionados:

Apple lança atualização de segurança do Xcode
Cisco lançou atualização de segurança para o Cisco Firepower System
Atualização de segurança Microsoft - Maio/2020
5 aplicações que devem ser evitadas
Já pensou em desinstalar o Adobe Flash Player?
Atualizações de segurança do Adobe Flash Player, Creative Cloud Desktop Application e RoboHelp Serve...
Adobe lança atualizações de segurança para o Acrobat Reader e Digital Editions
Mozilla lança atualizações de segurança