WordPress: Plugins LearnPress, LearnDash, et LifterLMS

Refer: 

tunCERT/Vuln.2020-149

Version: 

1.0

Date version: 

2020-04-30

Score cvss: 

8.60

Classification: 

  • Critique

Impact: 

  • Déni de service
  • Exécution de code arbitraire
  • Perte de confidentialité

Type: 

  • SQL Injection

Conséquence: 

Exécution de code arbitraire

Logiciels impactés (s) :

WordPress

  • LearnPress 3.2.6.7 et antérieures
  • LearnDash 3.1.6 et antérieures
  • LifterLMS 3.37.15 et antérieures

Description: 

Des vulnérabilités ont été signalées dans les Plugins de formation en ligne LearnPress, LearnDash, et LifterLMS de WordPress à cause de l’insuffisance de stérilisation de données en entrée / sortie. L’exploitation de ces failles pourrait permettre à un attaquant distant d’exécuter du code arbitraire et d’accéder à des données sensibles.

Solution: 

Mettre à jour les plugins vulnérables
Téléchargement des mises à jour

Lien: 

https://en-gb.wordpress.org/plugins/learnpress/
Téléchargement des mises à jour

Lien: 

https://wpengine.com/solution-center/learndash/
Téléchargement des mises à jour

Lien: 

https://en-gb.wordpress.org/plugins/lifterlms/

Identificants du problème: 

CVE-2020-11510

CVE-2020-11511

CVE-2020-6008

CVE-2020-6009

CVE-2020-6010

CVE-2020-6011

Documentation additionnelle: 

thehackrnews
https://thehackernews.com/2020/04/wordpress-lms-plugins.html
zdnet
https://www.zdnet.com/article/critical-vulnerabilities-in-wordpress-plugins-can-lead-to-e-learning-platform-hijacking/

Date de publication: 

2020-04-30

Référence: 

149