Categorias
Vulnerabilidades

Plugins WPLMS corrigem falhas críticas

Os plugins WPLMS corrigiram sete falhas críticas que permitiam invasores explorarem vulnerabilidades como execução remota de código e injeção de SQL.

Logotipo do WordPress em tons de preto e cinza, sobre um fundo escuro com várias sombras do mesmo símbolo

Os plugins premium exigidos pelo tema WPLMS WordPress, amplamente utilizado como sistema de gerenciamento de aprendizagem (LMS), passaram por importantes atualizações de segurança após a identificação de sete vulnerabilidades críticas. Com mais de 28.000 vendas, o WPLMS é especialmente popular entre instituições de ensino, empresas de treinamento corporativo e provedores de e-learning, oferecendo integração com o WooCommerce para vendas de cursos.

Detalhes das Vulnerabilidades

Imagem com a logomarca do WordPress com fundo vermelho

As falhas de segurança, reveladas por pesquisadores do Patchstack, destacaram um total de 18 problemas nos plugins WPLMS e VibeBP, sendo 10 deles considerados críticos. Essas vulnerabilidades possibilitavam ataques como:

  1. Execução Remota de Código (RCE):
    • CVE-2024-56046 (CVSS 10.0): Permitia a invasores não autenticados fazer upload de arquivos maliciosos, resultando em execução de código no servidor.
  2. Escalada de Privilégios:
    • CVE-2024-56050 (CVSS 9.9): Usuários autenticados com privilégios mínimos podiam carregar arquivos ignorando restrições.
    • CVE-2024-56048 (CVSS 8.8): Explorada por validações de função fracas, possibilitava que usuários com permissões básicas se tornassem administradores.
  3. Injeção de SQL:
    • CVE-2024-56042 (CVSS 9.3): Ataques exploravam consultas SQL mal sanitizadas para comprometer bancos de dados e roubar informações.

No caso do plugin VibeBP, vulnerabilidades similares foram identificadas, como o CVE-2024-56040, que permitia a criação de contas privilegiadas sem autenticação, e o CVE-2024-56039, explorado para injeções de SQL.

Atualizações Recomendadas

Os usuários dos plugins afetados devem atualizar para as versões corrigidas:

  • WPLMS: Versão 1.9.9.5.3 ou superior.
  • VibeBP: Versão 1.9.9.7.7 ou superior.

Além disso, como práticas recomendadas de segurança, o Patchstack sugere:

  • Implementação de higienização de entradas para prevenir injeções de SQL.
  • Aplicação de controles rigorosos de acesso baseados em funções de usuário.
  • Configuração de uploads de arquivos seguros, evitando a inserção de conteúdo malicioso.

Solução Colaborativa

A correção das falhas foi fruto de uma parceria entre o Patchstack e a Vibe Themes, desenvolvedora do WPLMS. Após a notificação inicial em março, a equipe da Vibe Themes testou diversas soluções ao longo de meses, culminando em patches que resolveram completamente as vulnerabilidades.

Manter os plugins sempre atualizados e implementar boas práticas de segurança é essencial para proteger seu site WordPress contra ataques. Certifique-se de verificar as versões instaladas e aplicar as atualizações imediatamente.

Por Jardeson Márcio

Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias.
Acredita que seu dia pode ser salvo por um vídeo engraçado.

Sair da versão mobile