CRITICAL✓ PATCH🇬🇧 English

CVE-2024-56043

WPLMS Plugin – nieuwierzytelniona eskalacja uprawnień (privilege escalation)

CVSS 9.8v3.1pub. 2024-12-31upd. 2026-04-23

Wtyczka WPLMS do WordPress zawiera krytyczną podatność polegającą na nieprawidłowym przypisaniu uprawnień, umożliwiającą nieuwierzytelnionemu atakującemu eskalację uprawnień w systemie. Podatność otrzymała ocenę CVSS 9.8, co czyni ją wyjątkowo niebezpieczną dla wszystkich witryn korzystających z tej wtyczki.

Pokaż oryginał (EN)

Incorrect Privilege Assignment vulnerability in VibeThemes WPLMS wplms_plugin allows Privilege Escalation.This issue affects WPLMS: from n/a through <= 1.9.9.

🤖 Analiza AI
Jak działa

Podatność wynika z błędu w mechanizmie przypisywania uprawnień (CWE-266) w wtyczce WPLMS. Atakujący bez żadnego uwierzytelnienia (PR:N, UI:N) może poprzez sieć (AV:N) skorzystać z luki i uzyskać wyższy poziom uprawnień niż mu przysługuje. Niska złożoność ataku (AC:L) oznacza, że exploit nie wymaga spełnienia żadnych specjalnych warunków po stronie ofiary ani infrastruktury.

Skutki

Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia w obrębie witryny WordPress, co w praktyce może prowadzić do pełnego przejęcia kontroli nad serwisem, w tym odczytu, modyfikacji i usunięcia danych.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę WPLMS do wersji wyższej niż 1.9.9. Szczegółowe informacje o dostępnym patchu dostępne są w bazie Patchstack oraz u producenta. Do czasu aktualizacji zaleca się rozważenie dezaktywacji wtyczki na narażonych instalacjach.

Kogo dotyczy

Wtyczka VibeThemes WPLMS (wplms_plugin) dla WordPress w wersjach od początku do 1.9.9 włącznie.

Uwagi

Według bazy Patchstack podatność sklasyfikowana jest jako nieuwierzytelniona eskalacja uprawnień (unauthenticated privilege escalation). Szczegóły techniczne exploitu dostępne są pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vibethemes WordPress Learning Management System

    APP
    Vibethemes
    < 1.9.9.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2024-56046CRITICAL10.0PL ✓ten sam produkt

Niekontrolowane przesyłanie plików w pluginie WPLMS — upload Web Shell

CVE-2024-56042CRITICAL9.3PL ✓ten sam produkt

SQL Injection w pluginie WPLMS dla WordPress (VibeThemes)

CVE-2024-56044CRITICAL9.8PL ✓ten sam produkt

Authentication Bypass w pluginie WPLMS dla WordPress (do wersji 1.9.9)

CVE-2024-56045CRITICAL9.3PL ✓ten sam produkt

Path Traversal w WPLMS — nieautoryzowane usuwanie katalogów

CVE-2024-56050CRITICAL9.9PL ✓ten sam produkt

Nieograniczony upload plików w WPLMS — możliwość wgrania Web Shell