紧急警告：顶级热门WordPress插件曝出严重安全漏洞

土耳鸡烤鸡

据国外科技网站报道，WordPress 网络安全平台 Patchstack 近期披露，两个热门 WordPress 插件现在被发现存在十多个安全漏洞，其中一些漏洞被认为极其严重。该平台在 2024 年 3 月下旬于网站构建器中发现了这些问题，并迅速向相关开发人员报告。自那以后，所有漏洞均已得到有效修复。

Patchstack 称这些漏洞分别存在于 WPLMS 和 VibeBP 插件中。WordPress 提供了学习管理系统（LMS）功能，使用户能够在其网站上直接创建、管理和销售在线课程。通过将教育特性和功能与 WordPress 平台无缝集成，LMS 插件为教师或教育机构提供了便利，使其能够轻松地提供课程、跟踪学习者的进度，并有效吸引学生参与。

如今，最受欢迎的LMS平台之一当属WPLMS，这款平台由知名公司VibeThemes精心打造。自推出以来，WPLMS已成功售出超过28000次，其丰富多样的功能令人赞叹，包括课程创建与管理、在线测验与评估，以及会员和订阅支持等。此外，VibeThemes还推出了另一款优秀插件——VibeBP。该插件巧妙地将BuddyPress与WPLMS结合，进一步增强了平台的社交学习功能。用户可以通过VibeBP轻松创建社区，享受个性化的用户资料、动态更新、私信交流以及通知提醒等功能。这一强大的组合无疑为教育机构和个人讲师提供了更为全面的学习管理解决方案。据Patchstack透露，他们发现WPLMS存在18个安全漏洞，其中大部分属于高危级别。

这些漏洞使得远程且未经身份验证的攻击者能够上传任意文件、执行代码、提升权限，并实施SQL注入攻击。简而言之，攻击者可以借此完全控制网站、窃取敏感数据等。其中，CVE-2024-56046 漏洞尤为严重，因其被评为满分 10/10，允许恶意行为者在未经过任何身份验证的情况下上传任意文件，进而导致远程代码执行（RCE）。完整的漏洞列表及受影响版本，请访问此链接查看。WPLMS 用户需确保其平台已升级至 1.9.9.5.3 或更高版本，而 VibeBP 用户则需升级至 1.9.9.7.7 或更高版本。Patchstack 强调，从过往经验来看，网站所有者应当实施严格的安全文件上传策略、清理 SQL 查询以及基于角色的访问控制措施，以增强整体安全性。