「WordPress」向けLMS構築プラグインに複数のSQLi脆弱性

コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されているプラグイン「LearnPress」に複数の深刻な脆弱性が明らかとなった。

同プラグインは、「WordPress」上でオンライン学習管理システム（LMS）を構築できるプラグイン。「同4.2.7」および以前のバージョンにおいて、「REST API」の処理にSQLインジェクションの脆弱性「CVE-2024-8522」「CVE-2024-8529」が明らかとなった。

DefiantのWordfenceによれば、脆弱性を悪用されると、外部より認証なしにデータベースを操作でき、機密情報などを窃取されるおそれがあるという。

共通脆弱性評価システム「CVSSv3.1」のベーススコアをいずれも最高値である「10.0」と評価、重要度を「クリティカル（Critical）」とレーティングしている。

開発者は、現地時間9月11日にリリースした「同4.2.7.1」にて脆弱性を修正。アップデートが呼びかけられている。

（Security NEXT - 2024/09/12 ） ツイート

PR

関連記事

システム設定で変更ミス、一部データが消失 - 厚労省
「nginx」に複数のクリティカル脆弱性 - 修正版が公開
豆腐通販サイトで決済アプリ改ざん - 個人情報流出の可能性
「Splunk」向けのAI拡張ツールに複数の脆弱性
「Cisco ISE」にRCE脆弱性 - 端末の接続に影響するおそれも
「Chrome」が脆弱性33件を修正 - 「クリティカル」7件
「Cortex XSOAR」「XSIAM」向け「CommvaultSecurityIQ」連携に脆弱性
台車においた患者情報含む書類が所在不明に - 埼玉病院
「ドットマネー」などにサイバー攻撃 - サービスが一時停止
スポーツ教室当選者宛てメールで誤送信 - 取消機能で再発