Wtyczka kursu online WordPress „LearnPress” była podatna na wiele krytycznych błędów, w tym wstrzyknięcie kodu SQL przed uwierzytelnieniem i włączenie plików lokalnych.

LearnPress to wtyczka systemu zarządzania nauczaniem (LMS), która umożliwia witrynom WordPress łatwe tworzenie i sprzedaż kursów, lekcji i quizów online, zapewniając odwiedzającym przyjazny interfejs, nie wymagając od twórcy witryny znajomości kodowania.

Luki w zabezpieczeniach wtyczki, wykorzystywanej w ponad 100 000 aktywnych witryn, zostały wykryte przez PatchStack między 30 listopada a 2 grudnia 2022 r. i zgłoszone dostawcy oprogramowania.

Problemy zostały rozwiązane 20 grudnia 2022 r. wraz z wydaniem wersji LearnPress 4.2.0. Jednak według statystyk WordPress.org tylko około 25% zastosowało aktualizację.

Oznacza to, że około 75 000 stron internetowych może korzystać z podatnej na ataki wersji LearnPress, narażając się na poważne luki w zabezpieczeniach, których wykorzystanie może mieć poważne konsekwencje.

Szczegóły luki w zabezpieczeniach

Pierwszą luką wykrytą przez PatchStack jest CVE-2022-47615, luka polegająca na nieuwierzytelnionym włączaniu plików lokalnych (LFI), która umożliwia atakującym wyświetlanie zawartości plików lokalnych przechowywanych na serwerze sieciowym.

Może to ujawnić poświadczenia, tokeny autoryzacji i klucze API, prowadząc do dalszych naruszeń bezpieczeństwa.

Luka znajduje się we fragmencie kodu obsługującym żądania API dla witryny internetowej, znajdującym się w funkcji „list_courses”, która nie sprawdza prawidłowo niektórych zmiennych ($template_pagination_path, $template_path i $template_path_item).

Osoba atakująca może potencjalnie wykorzystać lukę CVE-2022-47615, wysyłając specjalnie spreparowane żądanie interfejsu API i używając złośliwych wartości dla trzech zmiennych.

Drugą krytyczną luką jest CVE-2022-45808, nieuwierzytelniona iniekcja SQL, która może prowadzić do ujawnienia poufnych informacji, modyfikacji danych i wykonania dowolnego kodu.

Ta luka leży w funkcji obsługującej zapytania SQL dla witryny, która nie oczyszcza poprawnie i nie sprawdza poprawności zmiennej „$filter” w parametrach zapytania, umożliwiając atakującemu wstawienie do niej złośliwego kodu.
​

Trzecią luką mającą wpływ na starsze wersje LearnPress jest CVE-2022-45820, uwierzytelniony błąd iniekcji SQL w dwóch skrótach wtyczki („learn_press_recent_courses” i „learn_press_featured_courses”), który nie sprawdza poprawnie i nie oczyszcza danych wejściowych zmiennej „$args”.

PatchStack dostarczył exploita sprawdzającego koncepcję, pokazującego, w jaki sposób użytkownik „Współtwórca” może wywołać wstrzyknięcie SQL za pomocą specjalnie spreparowanego krótkiego kodu w wersji roboczej posta.

Ta luka musi zostać wykonana przez użytkownika z możliwością edytowania lub tworzenia nowego posta na blogu, co ogranicza ryzyko wystąpienia usterki.

Dostawca rozwiązał powyższe problemy, wprowadzając listę dozwolonych i oczyszczanie wrażliwych zmiennych lub usuwając możliwość dołączania szablonów do danych wprowadzanych przez użytkownika.

Właściciele stron internetowych, którzy polegają na LearnPress, powinni dokonać aktualizacji do wersji 4.2.0 lub wyłączyć wtyczkę, dopóki nie będą mogli zastosować dostępnej aktualizacji zabezpieczeń.