Se han reportado 3 vulnerabilidad críticas del plugin LearnPress para WordPress, lo cual podría causar problemas de seguridad en más de 75.000 sitios de internet que implementan esta herramienta para la creación de cursos online.
LearnPress es uno de los pugins más populares de WordPress para la creación de cursos y actividades para la formación online, que en la actualidad cuenta con más de 100.000 descargas. Un Learning Management Systems (LMS o LCMS) son plataformas para la implantación y evaluación de cursos de enseñanza o formación en linea. Gran parte de sus funcionalidades están destinadas a la administración efectiva y eficiente de las herramientas de aprendizaje y la gestión de un gran número de activos y objetos para la educación, así como de la gestión (captura/autoría, almacenamiento, gestión y difusión) de los contenidos educativos necesarios para ello.
Tal y como nos cuentan desde el portal PortalTIC, se ha publicado la versión LearnPress 4.2 que corrige estas tres vulnerabilidades críticas que han sido detectadas:
- Local File Inclusión (Inclusión de archivos locales, LFI).- CVE-2022-47615.- Crítica. Esta vulnerabilidad permitiría que fueran mostrados el contenido de documentos que se encuentran alojados en el servidor, por lo que podría quedar expuesta cierta información sensible, como pueden ser contraseñas, credenciales, tokens de autorización y claves API.
- Inyección SQL no autenticas.- CVE-2022-45808.- Crítica.- El problema de seguridad permitiría la infiltración de código intruso a través de una consulta SQL, con lo que el posible atacante podría divulgar información confidencial, modificar datos y ejecutar código de manera arbitraria.
- Inyección SQL autenticada.- CVE-2022-45820.- Crítica.- Parecida a la vulnerabilidad anterior, en el caso de la Inyección SQL autenticada, para poder ser llevada a cabo, el posible atacante debe tener credenciales dentro del sistema y con ellas poder acceder a información y datos a los que no debería tener acceso en condiciones de seguridad óptima.
Dada la gravedad de los problemas reportados, tanto el equipo de desarrollo de WordPress como de la propia herramienta aconsejan su actualización de manera inmediata. Si tenemos activada la opción de actualizaciones automáticas en nuestra instalación, ésta se realizará son que tengamos que intervenir, ya que se trata de una actualización de seguridad. En el caso de que tengamos desactivada esta opción, podremos realizarla fácilmente a través del panel de administración de plugins.
La vulnerabilidad ha sido encontrada y reportada en tiempo y forma y se han aplicado las medidas correctoras que la solucionan. Ahora sólo está en nuestras manos, como administradores de un sitio web, el aplicarlas para proteger nuestro sitio y a nuestros usuarios. La mayor parte de brechas de seguridad web que se producen están relacionadas con la falta de mantenimiento de dichos sitios. No lo dejes para más tarde y actualiza.
Recuerda, en GUIBIB somos especialistas en la creación y mantenimiento de sitios web creados con WordPress. No dudes en ponerte en contactos con nosotros donde podremos darte una solución totalmente personalizada.
Añadir nuevo comentario