Δευτέρα, 22 Φεβρουαρίου, 02:17
Αρχική security Κρίσιμες ευπάθειες σε WordPress plugins επιτρέπουν hijacking e-learning πλατφορμών

Κρίσιμες ευπάθειες σε WordPress plugins επιτρέπουν hijacking e-learning πλατφορμών

WordPress plugins

Σύμφωνα με ερευνητές, έχουν εντοπιστεί ευπάθειες σε WordPress plugins που χρησιμοποιούνται συνήθως από e-learning πλατφόρμες. Οι ευπάθειες αφορούν σημαντικά ζητήματα ασφαλείας.

H Check Point δημοσίευσε μια έρευνα σχετικά με τρία δημοφιλή WordPress plugins, τα LearnPress, LearnDash και LifterLMS, συστήματα LMS που χρησιμοποιούνται ευρέως για εκπαιδευτικούς σκοπούς, ειδικά αυτή την περίοδο που η εξ αποστάσεως εκπαίδευση έχει γίνει καθημερινότητα για πολλούς χρήστες.

Οι πλατφόρμες LMS (learning management systems) μπορούν να χρησιμοποιηθούν για τη διαχείριση διαδικτυακών μαθημάτων (τόσο δωρεάν όσο και επί πληρωμή), τη διευκόλυνση της συζήτησης μεταξύ των μαθητών κλπ.

Το LearnPress, που αναπτύχθηκε από τη ThimPress, είναι ένα plugin για τη δημιουργία και τη δημοσίευση μαθημάτων με περισσότερες από 80.000 ενεργές εγκαταστάσεις. Το LearnDash είναι ένα άλλο LMS plugin που χρησιμοποιείται από πανεπιστήμια και εταιρείες Fortune 500 (υπάρχουν περίπου 33.000 sites με αυτό το plugin). Τέλος, το LifterLMS είναι ένα plugin με πάνω από 10.000 εγκαταστάσεις.

e-learning

Η Check Point εξέτασε τα WordPress plugins και διαπίστωσε ότι υπάρχουν τέσσερις ευπάθειες: CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 και CVE-2020-6011, που μπορούν να επιτρέψουν σε έναν επιτιθέμενο να αποκτήσει περισσότερα προνόμια αλλά και να εκτελέσει κώδικα απομακρυσμένα (RCE).

“Αυτές οι ευπάθειες επιτρέπουν σε κανονικούς μαθητές αλλά και σε μη εξουσιοδοτημένους χρήστες να αποκτήσουν ευαίσθητες πληροφορίες ή να πάρουν τον έλεγχο των LMS πλατφορμών”, ανέφερε η ομάδα.

Σύμφωνα με την Check Point, οι μαθητές ή ακόμα και απομακρυσμένοι, μη εξουσιοδοτημένοι εισβολείς θα μπορούσαν να εκμεταλλευτούν τα κενά ασφάλειας και να προχωρήσουν σε hijacking e-learning πλατφορμών, κλοπή ευαίσθητων δεδομένων, αλλαγή βαθμολογιών, πλαστογράφηση πιστοποιητικών και πιθανώς κλοπή χρημάτων από τις LMS πλατφόρμες που προσφέρουν μαθήματα επί πληρωμή.

Η ανάλυση των WordPress plugins πραγματοποιήθηκε τον Μάρτιο. Η πρώτη ευπάθεια, CVE-2020-6010, επηρεάζει τις εκδόσεις του LearnPress από την 3.2.6.7 και μετά. Πρόκειται για μια SQL injection ευπάθεια.

Η δεύτερη ευπάθεια, CVE-2020-6011, επηρεάζει επίσης το LearnPress. Αυτό το σφάλμα θα μπορούσε να χρησιμοποιηθεί για να δώσει στον χρήστη τα ίδια προνόμια με έναν καθηγητή.

“Και οι δύο ευπάθειες που αναφέραμε έλαβαν την ίδια μεταχείριση από τον δημιουργό-οι ευάλωτες λειτουργίες διορθώθηκαν με τη νέα ενημερωμένη έκδοση”, σημείωσαν οι ερευνητές.

Το ίδιο plugin βρέθηκε και με ένα άλλο σφάλμα, το CVE-2020-11511, που ανακαλύφθηκε από την ερευνητική ομάδα Wordfence στις 28 Απριλίου. Η έκδοση 3.2.6.9 και οι επόμενες επηρεάζονται από το σφάλμα, το οποίο μπορεί να αξιοποιηθεί και να επιτρέψει σε κάποιον να αποκτήσει περισσότερα προνόμια.

Το LearnDash (έκδοση 3.1.6 και μεταγενέστερες) είναι ευάλωτο στην ευπάθεια CVE-2020-6009, που μπορεί να επιτρέψει μια SQL injection επίθεση από μη εξουσιοδοτημένο χρήστη.

Η ευπάθεια CVE-2020-6008 επηρεάζει το LifterLMS (έκδοση 3.37.15 και μεταγενέστερες). Αυτό το σφάλμα μπορεί να επιτρέψει στους εισβολείς να εκτελέσουν κώδικα απομακρυσμένα.

Μετά τη δημοσίευση της έκθεσης έγιναν ενημερώσεις στα WordPress plugins για να αντιμετωπιστούν τα ζητήματα ασφαλείας. Οι χρήστες θα πρέπει να βεβαιωθούν ότι τα plugins τους είναι ενημερωμένα για να παραμείνουν προστατευμένοι.

“Κορυφαία εκπαιδευτικά ιδρύματα, καθώς και πολλές διαδικτυακές ακαδημίες, βασίζονται στα συστήματα που ερευνήσαμε προκειμένου να πραγματοποιήσουν τα διαδικτυακά μαθήματα και τα εκπαιδευτικά τους προγράμματα”, σχολίασε ο ερευνητής της Check Point, Omri Herscovici.

 “Προτρέπουμε τα σχετικά εκπαιδευτικά ιδρύματα να αναβαθμίσουν όλες τις πλατφόρμες στις τελευταίες εκδόσεις”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...