MADRID, 26 Dic. (Portaltic/EP) -
Investigadores de seguridad han descubierto una serie de vulnerabilidades en el sistema de WordPress Learning Management System (WPLMS), que permitían la ejecución de código arbitrario y la instalación de 'malware' en los equipos infectados.
El tema Wordpress WPLMS es un sistema de gestión de aprendizaje (LMS, por sus siglas en inglés) para WordPress, que emplean principalmente instituciones educativas y otras empresas destinadas a capacitar a proveedores de aprendizaje electrónico, tal y como subraya Bleeping Computer.
Responsables del 'software' de seguridad Patchstack han encontrado un total de 18 vulnerabilidades en dos complementos para WPLMS, uno homónimo y otro llamado VibeBP, que permiten a los atacantes ejecutar diferetes acciones maliciosas.
Por ejemplo, CVE-2024-56046 les da la oportunidad de cargar archivos maliciosos sin autentificación, mientras que CVE-2024-56050 les permite autentificarse con privilegios de suscriptor, de forma que pueden cargar archivos y eludir las restricciones.
Por otra parte, gracias a la falla identificada como CVE-2024-56042, pueden inyectar consultas de lenguaje de programación SQL maliciosas para extraer datos confidenciales o comprometer las bases de datos de las víctimas.
Los investigadores han señalado que los usuarios de WPLMS deben actualizar el tema a la versión 1.9.9.5.3 o más reciente, mientras que VibeBP debe actualizarse a la versión 1.9.9.7.7 o posterior.
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
