导读
Check Point的研究人员发现,广泛使用的WordPress插件存在严重漏洞,这些插件被顶级学术机构和主要企业用于大规模在线学习。
通过利用LearnPress,LearnDash和LifterLMS中的漏洞,学生以及未经身份验证的用户都可以滥用安全漏洞来窃取个人信息,窃取金钱并在平台上获得教师特权。
Check Point漏洞研究小组负责人Omri Herscovici说:“由于,我们正在家里进行一切工作,包括我们的正规学习。登录电子学习网站的学生和员工可能并不知道这有多么危险。我们事实证明,黑客可以轻松控制整个eLearning平台,顶级教育机构以及许多在线学院都依靠我们研究的系统来运行其整个在线课程和培训计划。发现的漏洞使学生和有时甚至未经身份验证的用户也可以获取敏感信息或控制LMS平台。我们敦促各地的相关教育机构检查他们是否正在使用这些插件,并更新到最新版本。”
研究人员在2020年3月的两个星期内发现了这些漏洞。CheckPoint负责任地向适当的开发人员披露了各自平台中的每个漏洞,并且现已修复了所有漏洞。任何运行LMS平台的IT团队都应检查他们是否正在使用受影响的插件,并更新至最新版本,以消除漏洞。