В WordPress-теме WPLMS найдены критические уязвимости, затрагивающие более 28 000 сайтов

Фото автора

CyberSecureFox Editorial Team

Специалисты по кибербезопасности компании Patchstack выявили серию критических уязвимостей в популярной WordPress LMS-теме WPLMS и связанных с ней плагинах. Обнаруженные проблемы безопасности затрагивают более 28 000 образовательных сайтов и платформ электронного обучения по всему миру.

Масштаб и характер уязвимостей

В ходе исследования было обнаружено 18 различных уязвимостей в теме WPLMS и плагине VibeBP, из которых 10 классифицированы как критические. Наиболее опасные уязвимости позволяют злоумышленникам без аутентификации выполнять следующие действия:

  • Загружать вредоносные файлы на целевой сервер
  • Выполнять произвольный код
  • Повышать привилегии до уровня администратора
  • Осуществлять SQL-инъекции

Влияние на образовательный сектор

WPLMS широко используется образовательными учреждениями и тренинговыми компаниями для создания и управления онлайн-курсами. Тема также интегрируется с WooCommerce для монетизации образовательного контента. Уязвимости представляют особую опасность именно для образовательного сектора, где компрометация систем может привести к утечке конфиденциальных данных учащихся и финансовой информации.

Хронология обнаружения и устранения

Компания Patchstack обнаружила уязвимости весной 2023 года и уведомила разработчика Vibe Themes 31 марта. Процесс исправления занял значительное время — с апреля по ноябрь разработчики тестировали различные патчи для устранения всех выявленных проблем безопасности.

Рекомендации по защите

Для защиты от обнаруженных уязвимостей администраторам сайтов настоятельно рекомендуется:

  • Обновить тему WPLMS до версии 1.9.9.5.3 или выше
  • Обновить плагин VibeBP до версии 1.9.9.7.7 или выше
  • Провести аудит системных логов на предмет подозрительной активности
  • Внедрить дополнительные меры защиты, такие как WAF и мониторинг безопасности

Данный инцидент подчеркивает важность своевременного обновления компонентов WordPress и необходимость регулярного мониторинга безопасности образовательных платформ. Администраторам сайтов рекомендуется незамедлительно применить доступные обновления безопасности для минимизации рисков компрометации систем.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования