Logo de WordPress. | PIXABAY

TW
0

LearnPress, uno de los complementos más utilizados de WordPress, presenta tres vulnerabilidades «críticas» que podrían afectar a más de 75.000 sitios web si no se aplica el parche de actualización 4.2.0, que corrige fallos de seguridad como la inyección de SQL (código intruso) por usuarios no autenticados.

LearnPress es un complemento del sistema de gestión de aprendizaje (LMS) de WordPress que permite a los sitios web crear y vender cursos, lecciones y cuestionarios en línea de forma sencilla, ya que no es necesario tener conocimientos de codificación para ello.

Los investigadores de la herramienta de seguridad de WordPress Patchstack encontraron tres vulnerabilidades «críticas» en LearnPress a lo largo del pasado año 2022, por lo que informaron al proveedor de 'software' para implementar una solución, tal y como explican en su página web.

Gracias a ello, el 20 de diciembre de 2022 se publicó la versión 4.2.0 del complemento LearnPress que corregía todas las vulnerabilidades reportadas por Patchstack. Sin embargo, solo alrededor del 25 por ciento de los sitios web que utilizan este complemento han aplicado este parche, tal y como muestran los datos recabados por WordPress.

En este sentido, dado que LearnPress tiene más de 100.000 instalaciones activas, alrededor de 75.000 sitios web podrían verse afectados aún por las vulnerabilidades encontradas el pasado año, que pueden desencadenar serias repercusiones.

Respecto a las vulnerabilidades, la primera descubierta por Patchstack es la CVE-2022-47615, un fallo que permite incluir archivos locales (LFI) de forma no autenticada. Esta acción permite a los atacantes mostrar el contenido de los archivos locales en el servidor web.

Es decir, puede comprometer la seguridad de archivos que pueden contener datos sensibles como contraseñas, credenciales, tokens de autorización y claves API.

La segunda vulnerabilidad es la CVE-2022-45808, que permite inyecciones de SQL no autenticadas. Una inyección SQL es un método de infiltración de código intruso. De esta forma, el atacante podría potencialmente divulgar información confidencial, modificar datos y ejecutar código arbitrario, esto es, la capacidad para ejecutar comandos o en una aplicación al antojo del atacante.

Finalmente, el tercer fallo encontrado es el CVE-2022-45820, que también tiene que ver con inyecciones SQL pero autenticadas porque, para activar la inyección, el usuario ha de tener al menos el rol de colaborador en el sitio web, según informa Patchstack. Esta vulnerabilidad también puede conducir a la filtración de datos.

Por todo ello, Patchstack recomienda a los propietarios de los sitios web que utilicen LearnPress que actualicen lo antes posible la versión 4.2.0.