行业新闻与博客

安全研究人员发现了一系列影响 WordPress 广泛使用的 WPLMS 和 VibeBP 插件的严重漏洞。

这些插件是 WPLMS 高级 LMS 主题的重要组成部分，该主题的销量超过 28,000 份。它们主要用于创建在线课程、管理学生和销售教育内容。

这些漏洞现已得到修补，但会带来重大风险，包括未经授权的文件上传、权限提升和 SQL 注入攻击。

已发现严重漏洞

PatchStack 发现的最严重的漏洞包括任意文件上传，包括 CVE-2024-56046，它允许攻击者上传恶意文件，可能导致远程代码执行 (RCE)。

包括 CVE-2024-56043 在内的权限提升漏洞可使未经身份验证和低权限用户将其角色提升为管理员，从而存在完全接管网站的风险。还发现了 SQL 注入漏洞，例如 CVE-2024-56042，可通过恶意查询泄露敏感数据库信息。

这些漏洞存在于各种功能中，包括注册表单和 REST API 端点。 

研究人员总共报告了 18 个漏洞，其中几个被认为是严重漏洞。

WPLMS 和 VibeBP 更新发布 

为了解决这些问题，开发人员发布了 WPLMS（版本 1.9.9.5.3）和 VibeBP（版本 1.9.9.7.7）的更新。 

开发人员通过引入更严格的控制和安全检查来解决这些漏洞。

对于任意文件上传漏洞，他们限制了可上传文件类型，添加了权限检查，并在某些情况下删除了易受攻击的代码。通过在注册期间强制执行角色限制并对允许的选项实施白名单，可以缓解权限提升问题。为了应对 SQL 注入风险，他们应用了适当的输入转义并保护了受影响的变量和代码。

敦促用户立即应用这些补丁来保护他们的网站。

为了防止类似的漏洞，鼓励开发人员实施以下安全措施：

• 通过检查文件名和类型来限制文件上传

• 使用角色允许列表进行注册流程和默认角色

• 转义 SQL 查询中的所有用户输入并支持准备好的语句