محققای patchstack در خصوص سه آسیب پذیری حیاتی در پلاگین LearnPress گزارشی منتشر کردن و توصیه کردن کاربران حداقل به نسخه 4.2.0 ارتقاء بدن.
افزونه LearnPress یکی از محبوب ترین افزونه های وردپرسی در زمینه LMS هستش که بیش از 100 هزار نصب فعال داره. کاربران از این افزونه برای ایجاد و فروش دوره های آنلاین استفاده میکنن. این افزونه قابلیت ایجاد کلاس درس و آزمون رو داره.
آسیب پذیری CVE-2022-47615 : آسیب پذیری از نوع LFI هستش و دارای امتیاز 9.3 و بحرانی هستش. یه کاربر بدون احراز هویت میتونه فایلهای داخل سرور رو بخونه.این فایلها میتونه فایلهای کانفیگ یا دیتابیس و … باشه. مهاجم با ارسال درخواست API مخرب ، میتونه از این آسیب پذیری سوء استفاده کنه.
آسیب پذیری CVE-2022-45808 : آسیب پذیری از نوع SQL Injection هستش و دارای امتیاز 9.9 و شدت بحرانی هستش. مهاجم برای اکسپلویت این آسیب پذیری ، نیاز به احراز هویت نداره.
آسیب پذیری CVE-2022-45820 : آسیب پذیری از نوع SQL injection هستش و دارای امتیاز 9.1 و بحرانی هستش. مهاجم برای اکسپلویت این آسیب پذیری نیاز به داشتن یه اکانت ،با امکان ایجاد یا ویرایش یه پست داره.
نسخه اصلاح شده 20 دسامبر منتشر شده اما طبق آمار WordPress.org stats تنها 25 درصد این اصلاحیه رو اعمال کردن.