CRITICAL✓ PATCH🇬🇧 English

CVE-2024-56045

Path Traversal w WPLMS — nieautoryzowane usuwanie katalogów

CVSS 9.3v3.1pub. 2024-12-31upd. 2026-04-23

Wtyczka WPLMS (WordPress Learning Management System) firmy VibeThemes zawiera podatność typu path traversal (CWE-35), umożliwiającą nieuwierzytelnionemu atakującemu usuwanie dowolnych katalogów na serwerze. Ocena CVSS 9.3 (Critical) wynika z braku wymagań uwierzytelnienia oraz zasięgu ataku wykraczającego poza komponent wtyczki.

Pokaż oryginał (EN)

Path Traversal: '.../...//' vulnerability in VibeThemes WPLMS wplms_plugin allows Path Traversal.This issue affects WPLMS: from n/a through < 1.9.9.5.

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowej sanityzacji ścieżek plików — atakujący może przekazać spreparowany ciąg znaków w formacie '.../...//' (technika omijania prostych filtrów blokujących '../'), który po przetworzeniu przez aplikację prowadzi do wskazanego katalogu poza głównym katalogiem wtyczki. Mechanizm ten pozwala na operacje poza dozwolonym obszarem systemu plików serwera. Atak jest możliwy bez jakiegokolwiek uwierzytelnienia i realizowany zdalnie przez sieć.

Skutki

Atakujący może usunąć dowolne katalogi dostępne w kontekście uprawnień serwera WWW, co może prowadzić do niedostępności serwisu (DoS), uszkodzenia instalacji WordPress lub zniszczenia danych aplikacji. Możliwe jest również naruszenie integralności systemu plików serwera.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę WPLMS do wersji 1.9.9.5 lub nowszej. Szczegóły poprawki dostępne są w bazie Patchstack oraz w repozytorium wtyczek WordPress.

Kogo dotyczy

Wtyczka WPLMS (wplms_plugin) firmy VibeThemes dla WordPress — wersje od nieokreślonej (n/a) do wersji poniżej 1.9.9.5.

Uwagi

Według Patchstack podatność umożliwia nieautoryzowane usuwanie dowolnych katalogów (unauthenticated arbitrary directory deletion). Podatność została opublikowana 2024-12-31 i jest śledzona przez Patchstack jako część programu monitoringu bezpieczeństwa wtyczek WordPress.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:H
  • Vibethemes WordPress Learning Management System

    APP
    Vibethemes
    < 1.9.9.5
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-56046CRITICAL10.0PL ✓ten sam produkt

Niekontrolowane przesyłanie plików w pluginie WPLMS — upload Web Shell

CVE-2024-56042CRITICAL9.3PL ✓ten sam produkt

SQL Injection w pluginie WPLMS dla WordPress (VibeThemes)

CVE-2024-56043CRITICAL9.8PL ✓ten sam produkt

WPLMS Plugin – nieuwierzytelniona eskalacja uprawnień (privilege escalation)

CVE-2024-56044CRITICAL9.8PL ✓ten sam produkt

Authentication Bypass w pluginie WPLMS dla WordPress (do wersji 1.9.9)

CVE-2024-56050CRITICAL9.9PL ✓ten sam produkt

Nieograniczony upload plików w WPLMS — możliwość wgrania Web Shell