CRITICAL✓ PATCH🇬🇧 English

CVE-2024-56042

SQL Injection w pluginie WPLMS dla WordPress (VibeThemes)

CVSS 9.3v3.1pub. 2024-12-31upd. 2026-04-23

Plugin WPLMS (WordPress Learning Management System) autorstwa VibeThemes zawiera krytyczną podatność typu SQL Injection, umożliwiającą nieuwierzytelnionemu atakującemu manipulację bazą danych. Wysoki wynik CVSS 9.3 oraz brak wymogu uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in VibeThemes WPLMS wplms_plugin allows SQL Injection.This issue affects WPLMS: from n/a through < 1.9.9.5.3.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w zapytaniach SQL (CWE-89). Atakujący może przesyłać spreparowane dane wejściowe bezpośrednio do zapytań SQL wykonywanych przez plugin, bez konieczności posiadania jakiegokolwiek konta w systemie. Wektor ataku sieciowy bez wymagań co do uwierzytelnienia i interakcji użytkownika oznacza, że exploit może być przeprowadzony zdalnie i w pełni automatycznie.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, w tym danych użytkowników, kursów oraz potencjalnie poświadczeń. Podatność może również prowadzić do częściowego zakłócenia dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować plugin WPLMS do wersji 1.9.9.5.3 lub nowszej. Szczegóły dotyczące patcha dostępne są w bazie Patchstack pod adresem wskazanym w referencjach. Do czasu aktualizacji zaleca się rozważenie tymczasowego wyłączenia pluginu.

Kogo dotyczy

Plugin WPLMS (wplms_plugin) autorstwa VibeThemes dla WordPress w wersjach od n/a do < 1.9.9.5.3.

Uwagi

Podatność została zgłoszona i udokumentowana przez Patchstack. Brak wymogu uwierzytelnienia (Unauthenticated SQL Injection) przy zasięgu wykraczającym poza komponent (Scope: Changed) podwyższa realny poziom zagrożenia ponad standard dla podatności HIGH.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L
  • Vibethemes WordPress Learning Management System

    APP
    Vibethemes
    < 1.9.9.5.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-56046CRITICAL10.0PL ✓ten sam produkt

Niekontrolowane przesyłanie plików w pluginie WPLMS — upload Web Shell

CVE-2024-56043CRITICAL9.8PL ✓ten sam produkt

WPLMS Plugin – nieuwierzytelniona eskalacja uprawnień (privilege escalation)

CVE-2024-56044CRITICAL9.8PL ✓ten sam produkt

Authentication Bypass w pluginie WPLMS dla WordPress (do wersji 1.9.9)

CVE-2024-56045CRITICAL9.3PL ✓ten sam produkt

Path Traversal w WPLMS — nieautoryzowane usuwanie katalogów

CVE-2024-56050CRITICAL9.9PL ✓ten sam produkt

Nieograniczony upload plików w WPLMS — możliwość wgrania Web Shell

CVE-2024-56042 — SQL Injection w pluginie WPLMS dla WordPress (VibeThemes) — CRITICAL 9.3 | CVEbaza.pl