Bugs critiques dans 3 plugins e-learning pour les sites WordPress
Les chercheurs en sécurité tirent la sonnette d'alarme sur les vulnérabilités récemment découvertes dans certains plugins LMS (Online Learning Management System) populaires que diverses organisations et universités utilisent pour offrir des cours de formation en ligne via leurs sites Web WordPress.
Selon l'équipe de recherche de Check Point, les trois plugins WordPress en question - LearnPress, LearnDash et LifterLMS - ont des failles de sécurité qui pourraient permettre aux étudiants, ainsi qu'aux utilisateurs non authentifiés, de piller les informations personnelles des utilisateurs enregistrés et même d'accéder aux privilèges des enseignants.
"En raison du coronavirus, nous faisons tout à partir de nos maisons, y compris notre apprentissage formel", a déclaré Omri Herscovici. "Les vulnérabilités trouvées permettent aux étudiants, et parfois même aux utilisateurs non authentifiés, d'obtenir des informations sensibles ou de prendre le contrôle des plateformes LMS."
Les trois systèmes LMS sont installés sur environ 100 000 plates-formes éducatives différentes, y compris de grandes universités telles que l'Université de Floride, l'Université du Michigan et l'Université de Washington, entre autres.
LearnPress et LifterLMS seuls comptent plus de 1,6 million de téléchargements depuis leur lancement.
Vulnérabilités multiples dans les plugins WordPress LMS
LMS facilite l'apprentissage en ligne via une application logicielle qui permet aux établissements universitaires et aux employeurs de créer un programme de cours, de partager des cours, d'inscrire des étudiants et d'évaluer des étudiants à l'aide de questionnaires.
Les plugins tels que LearnPress, LearnDash et LifterLMS facilitent la tâche en adaptant n'importe quel site WordPress à un LMS pleinement fonctionnel et facile à utiliser.
Les failles de LearnPress vont de l'injection SQL (CVE-2020-6010) à l'escalade de privilèges (CVE-2020-11511), qui peut autoriser un utilisateur existant à gagner le rôle d'un enseignant.
"De façon inattendue, le code ne vérifie pas les autorisations de l'utilisateur demandeur, permettant ainsi à n'importe quel étudiant d'appeler cette fonction", ont déclaré les chercheurs.
LearnDash, de même, souffre d'une faille d'injection SQL (CVE-2020-6009) qui permet à un adversaire de créer une requête SQL malveillante en utilisant le simulateur de service de messagerie de paiement instantané (IPN) de PayPal pour déclencher de fausses transactions d'inscription au cours.
Enfin, la vulnérabilité d'écriture de fichiers arbitraire de LifterLMS (CVE-2020-6008) exploite la nature dynamique des applications PHP pour permettre à un attaquant, par exemple un étudiant inscrit à un cours spécifique, de changer le nom de son profil en un morceau malveillant de code PHP.
Au total, les failles permettent aux attaquants de voler des informations personnelles (noms, e-mails, noms d'utilisateur, mots de passe, etc…), et aux étudiants de changer de notes, de récupérer des tests et des réponses de test au préalable, mais aussi de falsifier des certificats.
"Les plateformes impliquent un paiement; par conséquent, les régimes financiers sont également applicables dans le cas de la modification du site Web sans les informations du webmaster", ont averti les chercheurs.
Check Point Research a déclaré que les vulnérabilités ont été découvertes en mars et divulguées de manière responsable aux plateformes concernées. Les trois systèmes LMS ont depuis publié des correctifs pour résoudre les problèmes.
Il est recommandé aux utilisateurs d'effectuer une mise à niveau vers les dernières versions de ces plugins.
Source : The Hacker News