SK-CERT Bezpečnostné varovanie V20230127-01

27. januára 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.9

Identifikátor

LearnPress WP plugin – tri kritické bezpečnostné zraniteľnosti

Popis

Vývojári WordPress pluginu LearnPress vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje tri kritické bezpečnostné zraniteľnosti.
Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom SQL injekcie vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

24.01.2023

CVE

CVE-2022-45808, CVE-2022-45820, CVE-2022-47615

IOC

–

Zasiahnuté systémy

LearnPress Plugin vo verzii staršej ako 4.2.0

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Odporúčame uistiť sa, či Vaše aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetný plugin v zraniteľnej verzii. V prípade, že áno, odporúčame bezodkladne vykonať aktualizáciu redakčného systému a všetkých používaných pluginov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://patchstack.com/articles/multiple-critical-vulnerabilities-fixed-in-learnpress-plugin-version/
https://patchstack.com/database/vulnerability/learnpress/wordpress-learnpress-wordpress-lms-plugin-plugin-4-1-7-3-2-sql-injection

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20230127-01

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02