Patchstackは12月23日(現地時間)、「Multiple Critical Vulnerabilities Patched in WPLMS and VibeBP Plugins - Patchstack」において、WordPressの学習管理システム「WordPress LMS(WP LMS)」を構成するプラグイン「WPLMS」および「VibeBP」に緊急の脆弱性が存在すると報じた。

これら脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のファイルをアップロードされ、その結果として任意のコードを実行される可能性がある。

  • Multiple Critical Vulnerabilities Patched in WPLMS and VibeBP Plugins - Patchstack

    Multiple Critical Vulnerabilities Patched in WPLMS and VibeBP Plugins - Patchstack

脆弱性の情報

発見された脆弱性は合計で18件。Patchstackが公開した、深刻度の高い10件の脆弱性の情報(CVE)は次の通り。

  • CVE-2024-56046 - WPLMSに不適切な認証とパラメータ検証の脆弱性。認証されていないリモートの攻撃者は任意のファイルをアップロードできる可能性がある(CVSSスコア: 10.0)
  • CVE-2024-56050 - WPLMSに危険な形式のファイルを無制限にアップロードできる脆弱性。認証された攻撃者は、ZIPファイルをアップロードすることで任意のPHPファイルをデプロイできる可能性がある(CVSSスコア: 9.9)
  • CVE-2024-56052 - WPLMSに危険な形式のファイルを無制限にアップロードできる脆弱性。Studentロールを持つ攻撃者は、任意のファイルをアップロードできる可能性がある(CVSSスコア: 9.9)
  • CVE-2024-56043 - WPLMSに不適切なパラメータ検証の脆弱性。既知のユーザーは任意のロールに権限を昇格できる可能性がある(CVSSスコア: 9.8)
  • CVE-2024-56048 - WPLMSに不適切なアクセス制限の脆弱性。一部の認証済みの攻撃者は、管理者のロールを取得できる可能性がある(CVSSスコア: 8.8)
  • CVE-2024-56042 - WPLMSにSQLインジェクションの脆弱性(CVSSスコア: 9.3)
  • CVE-2024-56047 - WPLMSにSQLインジェクションの脆弱性(CVSSスコア: 8.5)
  • CVE-2024-56040 - VibeBPに不適切なパラメータ検証の脆弱性。既知のユーザーは任意のロールに権限を昇格できる可能性がある(CVSSスコア: 9.8)
  • CVE-2024-56039 - VibeBPにSQLインジェクションの脆弱性(CVSSスコア: 9.3)
  • CVE-2024-56041 - VibeBPにSQLインジェクションの脆弱性(CVSSスコア: 8.5)

これら脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • WPLMS 1.9.9.5.3よりも前のバージョン
  • VibeBP 1.9.9.7.7よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • WPLMS 1.9.9.5.3
  • VibeBP 1.9.9.7.7

対策

発見された脆弱性の中で最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。当該製品を運用している管理者には、速やかに最新バージョンへアップデートすることが推奨されている。