CRITICAL✓ PATCH🇬🇧 English

CVE-2024-56044

Authentication Bypass w pluginie WPLMS dla WordPress (do wersji 1.9.9)

CVSS 9.8v3.1pub. 2024-12-31upd. 2026-04-23

Wtyczka WPLMS (WordPress Learning Management System) autorstwa VibeThemes zawiera krytyczną podatność umożliwiającą obejście uwierzytelnienia. Nieuwierzytelniony atakujący może uzyskać nieautoryzowany dostęp do systemu bez podawania prawidłowych danych logowania.

Pokaż oryginał (EN)

Authentication Bypass Using an Alternate Path or Channel vulnerability in VibeThemes WPLMS wplms_plugin allows Authentication Bypass.This issue affects WPLMS: from n/a through <= 1.9.9.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na tym, że mechanizm uwierzytelnienia wtyczki WPLMS może zostać pominięty poprzez alternatywną ścieżkę lub kanał dostępu. Zgodnie z informacjami z referencji, luka umożliwia nieuwierzytelnionemu atakującemu generowanie tokenów dowolnych użytkowników systemu bez posiadania ich danych logowania. Atak jest możliwy zdalnie, bez interakcji użytkownika i nie wymaga żadnych uprawnień.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników platformy e-learningowej, w tym potencjalnie kont administratorów, co może prowadzić do pełnego przejęcia kontroli nad witryną WordPress oraz naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę WPLMS do wersji wyższej niż 1.9.9. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Plugin WPLMS (wplms_plugin) autorstwa VibeThemes dla WordPress w wersjach od n/a do 1.9.9 włącznie.

Uwagi

Według bazy Patchstack podatność umożliwia nieuwierzytelnione generowanie tokenów dowolnych użytkowników (unauthenticated arbitrary user token generation).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vibethemes WordPress Learning Management System

    APP
    Vibethemes
    < 1.9.9.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-56046CRITICAL10.0PL ✓ten sam produkt

Niekontrolowane przesyłanie plików w pluginie WPLMS — upload Web Shell

CVE-2024-56042CRITICAL9.3PL ✓ten sam produkt

SQL Injection w pluginie WPLMS dla WordPress (VibeThemes)

CVE-2024-56043CRITICAL9.8PL ✓ten sam produkt

WPLMS Plugin – nieuwierzytelniona eskalacja uprawnień (privilege escalation)

CVE-2024-56045CRITICAL9.3PL ✓ten sam produkt

Path Traversal w WPLMS — nieautoryzowane usuwanie katalogów

CVE-2024-56050CRITICAL9.9PL ✓ten sam produkt

Nieograniczony upload plików w WPLMS — możliwość wgrania Web Shell