Eine kritische Sicherheitslücke wurde in dem WordPress LMS Plugin LearnPress entdeckt, die es Angreifern ermöglicht, beliebige Dateien auf den Server hochzuladen. Die Schwachstelle CVE-2024-4397 betrifft alle Versionen des Plugins bis einschließlich Version 4.2.6.5 und wurde mit einem hohen CVSS-Score von 8.8 bewertet.
Die Sicherheitsforscherin JoanClarke2 entdeckte, dass das Plugin unzureichende Dateityp-Validierungen in der Funktion save_post_materials
aufweist. Dies erlaubt es authentifizierten Nutzern mit Lehrberechtigungen (Instructor-Level und höher), potenziell schädliche Dateien auf den Webserver hochzuladen, was eine Ausführung von fremdem Code auf der betroffenen Webseite ermöglichen könnte.
Betroffene Betreiber von WordPress-Webseiten, die das LearnPress LMS Plugin verwenden, sollten dringend auf die gepatchte Version 4.2.6.6 aktualisieren, um sich vor möglichen Angriffen zu schützen. Diese Aktualisierung behebt die Sicherheitslücke und stellt sicher, dass keine unerwünschten Dateien mehr über das Plugin hochgeladen werden können.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: