PR

【WordPress】学習管理システムに緊急の脆弱性、ただちにアップデートを!

Patchstackは12月23日(現地時間)、「Multiple Critical Vulnerabilities Patched in WPLMS and VibeBP Plugins – Patchstack」において、WordPressの学習管理システム「WordPress LMS(WP LMS)」を構成するプラグイン「WPLMS」および「VibeBP」に緊急の脆弱性が存在すると報じました。

これら脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のファイルをアップロードされて、その結果として任意のコードを実行される可能性があるとのこと。

 

脆弱性の情報

発見された脆弱性は合計で18件。Patchstackが公開した、深刻度の高い10件の脆弱性の情報(CVE)は次の通りです。

  • CVE-2024-56046 – WPLMSに不適切な認証とパラメータ検証の脆弱性。認証されていないリモートの攻撃者は任意のファイルをアップロードできる可能性がある(CVSSスコア: 10.0)
  • CVE-2024-56050 – WPLMSに危険な形式のファイルを無制限にアップロードできる脆弱性。認証された攻撃者は、ZIPファイルをアップロードすることで任意のPHPファイルをデプロイできる可能性がある(CVSSスコア: 9.9)
  • CVE-2024-56052 – WPLMSに危険な形式のファイルを無制限にアップロードできる脆弱性。Studentロールを持つ攻撃者は、任意のファイルをアップロードできる可能性がある(CVSSスコア: 9.9)
  • CVE-2024-56043 – WPLMSに不適切なパラメータ検証の脆弱性。既知のユーザーは任意のロールに権限を昇格できる可能性がある(CVSSスコア: 9.8)
  • CVE-2024-56048 – WPLMSに不適切なアクセス制限の脆弱性。一部の認証済みの攻撃者は、管理者のロールを取得できる可能性がある(CVSSスコア: 8.8)
  • CVE-2024-56042 – WPLMSにSQLインジェクションの脆弱性(CVSSスコア: 9.3)
  • CVE-2024-56047 – WPLMSにSQLインジェクションの脆弱性(CVSSスコア: 8.5)
  • CVE-2024-56040 – VibeBPに不適切なパラメータ検証の脆弱性。既知のユーザーは任意のロールに権限を昇格できる可能性がある(CVSSスコア: 9.8)
  • CVE-2024-56039 – VibeBPにSQLインジェクションの脆弱性(CVSSスコア: 9.3)
  • CVE-2024-56041 – VibeBPにSQLインジェクションの脆弱性(CVSSスコア: 8.5)

これら脆弱性に関する情報は次のページにまとまっています。

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおりです。

  • WPLMS 1.9.9.5.3よりも前のバージョン
  • VibeBP 1.9.9.7.7よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおりです。

  • WPLMS 1.9.9.5.3
  • VibeBP 1.9.9.7.7

対策

発見された脆弱性の中で最も深刻度の高いものは緊急(Critical)と評価されており注意が必要で、当該製品を運用している管理者には、速やかに最新バージョンへアップデートすることが推奨されています。

コメント

テキストのコピーはできません。
タイトルとURLをコピーしました