75 000 сайтов под управлением WordPress в опасности из-за багов в плагине для онлайн-курсов
В плагине для онлайн-курсов LearnPress обнаружили сразу нескольких критических уязвимостей, в том числе, связанные с SQL-инъекциями перед аутентификацией и включением локальных файлов.
Плагин используется более чем на 100 000 сайтов под управлением WordPress, а патчи пока установили лишь 25% владельцев ресурсов.
LearnPress представляет собой LMS-плагин, который позволяет WordPress-сайтам создавать и продавать онлайн-курсы, уроки и викторины, предлагая удобный интерфейс и не требуя от администраторов сайта знаний в области программирования и разработки.
Уязвимости в LearnPress были обнаружены специалистами PatchStack в период с 30 ноября по 2 декабря 2022 года, о чем исследователи сразу уведомили разработчиков плагина. Проблемы были устранены 20 декабря 2022 года с релизом LearnPress 4.2.0, однако, согласно статистике WordPress.org, пока исправления установили лишь 25% от общего числа сайтов. То есть примерно 75 000 ресурсов по-прежнему используют уязвимые версии LearnPress, подвергаясь серьезным рискам.
