Complementos ‘LearnDash LMS’ y ‘Autochat Automatic Conversation’ Vulnerables en WordsPress

WordPress es una plataforma de gestión de contenido de código abierto que simplifica la creación y administración de sitios web. Ofrece una interfaz fácil de usar, una amplia variedad de temas y complementos, y es altamente personalizable y escalable. Recientemente se detectaron dos vulnerabilidades que afectan a dos complementos de esta plataforma.

Productos Afectados y detalle de las vulnerabilidades.

El complemento LearnDash LMS es un potente plugin de WordPress que te permite crear y gestionar un sistema de gestión del aprendizaje en línea, es vulnerable a referencias de objetos directos inseguros, esta vulnerabilidad se identifica como CVE-2023-3105 con severidad ALTA y un puntaje base CVSS de 8.8. Esto hace posible que los atacantes con acceso a una cuenta existente en cualquier nivel cambien las contraseñas de los usuarios y potencialmente se apoderen de las cuentas de administrador.

El complemento de conversación automática de Autochat para WordPress es vulnerable a las secuencias de comandos almacenados entre sitios, esta vulnerabilidad se identifica como CVE-2023-3041 con severidad ALTA y un puntaje base CVSS de 7.2. Esto hace posible que los atacantes no autenticados inyecten scripts arbitrarios de tipo web en páginas que se ejecutarán cada vez que un usuario acceda a ella.

Versiones Afectadas

  • Complemento LearnDash LMS en versiones  4.6.0 y anteriores.
  • Complemento de conversación automática de Autochat en versiones 1.1.7 y anteriores.

Solución

Para el complemento de conversación automática de Autochat no hay parche conocido disponible. Revise los detalles de la vulnerabilidad en profundidad y emplee medidas de mitigación basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.

Para el complemento LearnDash LMS se soluciona actualizando a la versión 4.6.0.1 o una versión parcheada más reciente.

Se recomienda a los usuarios que actualicen a las versiones mas recientes para proteger sus sistemas contra estas amenazas.

Referencias