Patchstackは12月23日(現地時間)、「Multiple Critical Vulnerabilities Patched in WPLMS and VibeBP Plugins – Patchstack」において、WordPressの学習管理システム「WordPress LMS(WP LMS)」を構成するプラグイン「WPLMS」および「VibeBP」に緊急の脆弱性が存在すると報じました。

これら脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のファイルをアップロードされて、その結果として任意のコードを実行される可能性があるとのこと。

脆弱性の情報

発見された脆弱性は合計で18件。Patchstackが公開した、深刻度の高い10件の脆弱性の情報(CVE)は次の通りです。

• CVE-2024-56046 – WPLMSに不適切な認証とパラメータ検証の脆弱性。認証されていないリモートの攻撃者は任意のファイルをアップロードできる可能性がある(CVSSスコア: 10.0)
• CVE-2024-56050 – WPLMSに危険な形式のファイルを無制限にアップロードできる脆弱性。認証された攻撃者は、ZIPファイルをアップロードすることで任意のPHPファイルをデプロイできる可能性がある(CVSSスコア: 9.9)
• CVE-2024-56052 – WPLMSに危険な形式のファイルを無制限にアップロードできる脆弱性。Studentロールを持つ攻撃者は、任意のファイルをアップロードできる可能性がある(CVSSスコア: 9.9)
• CVE-2024-56043 – WPLMSに不適切なパラメータ検証の脆弱性。既知のユーザーは任意のロールに権限を昇格できる可能性がある(CVSSスコア: 9.8)
• CVE-2024-56048 – WPLMSに不適切なアクセス制限の脆弱性。一部の認証済みの攻撃者は、管理者のロールを取得できる可能性がある(CVSSスコア: 8.8)
• CVE-2024-56042 – WPLMSにSQLインジェクションの脆弱性(CVSSスコア: 9.3)
• CVE-2024-56047 – WPLMSにSQLインジェクションの脆弱性(CVSSスコア: 8.5)
• CVE-2024-56040 – VibeBPに不適切なパラメータ検証の脆弱性。既知のユーザーは任意のロールに権限を昇格できる可能性がある(CVSSスコア: 9.8)
• CVE-2024-56039 – VibeBPにSQLインジェクションの脆弱性(CVSSスコア: 9.3)
• CVE-2024-56041 – VibeBPにSQLインジェクションの脆弱性(CVSSスコア: 8.5)

これら脆弱性に関する情報は次のページにまとまっています。

• WordPress WPLMS plugin <= 1.9.9 – Unauthenticated Arbitrary File Upload vulnerability – Patchstack
• WordPress WPLMS plugin < 1.9.9.5.3 – Subscriber+ Arbitrary File Upload vulnerability – Patchstack
• WordPress WPLMS plugin < 1.9.9.5.2 – Student+ Arbitrary File Upload vulnerability – Patchstack
• WordPress WPLMS plugin <= 1.9.9 – Unauthenticated Privilege Escalation vulnerability – Patchstack
• WordPress WPLMS plugin <= 1.9.9 – Arbitrary Option Update to Privilege Escalation vulnerability – Patchstack
• WordPress WPLMS plugin < 1.9.9.5.3 – Unauthenticated SQL Injection vulnerability – Patchstack
• WordPress WPLMS plugin < 1.9.9.5.3 – Subscriber+ SQL Injection vulnerability – Patchstack
• WordPress VibeBP plugin <= 1.9.9.4.1 – Unauthenticated Privilege Escalation vulnerability – Patchstack
• WordPress VibeBP plugin < 1.9.9.7.7 – Unauthenticated SQL Injection vulnerability – Patchstack
• WordPress VibeBP plugin < 1.9.9.5.1 – SQL Injection vulnerability – Patchstack

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおりです。

• WPLMS 1.9.9.5.3よりも前のバージョン
• VibeBP 1.9.9.7.7よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおりです。

• WPLMS 1.9.9.5.3
• VibeBP 1.9.9.7.7

対策

発見された脆弱性の中で最も深刻度の高いものは緊急(Critical)と評価されており注意が必要で、当該製品を運用している管理者には、速やかに最新バージョンへアップデートすることが推奨されています。