Pesquisadores de segurança identificaram uma série de vulnerabilidades críticas nos populares plugins WPLMS e VibeBP, amplamente utilizados na criação e gestão de plataformas de ensino online baseadas em WordPress. Esses plugins fazem parte do tema premium de LMS WPLMS, que já registrou mais de 28 mil vendas e é utilizado para oferecer cursos, gerenciar estudantes e comercializar conteúdo educacional.

As falhas, agora corrigidas, representavam sérios riscos, incluindo upload não autorizado de arquivos, escalonamento de privilégios e ataques de injeção de SQL. Entre as falhas mais graves estava a vulnerabilidade de upload arbitrário de arquivos, identificada como CVE-2024-56046, que permitia que atacantes carregassem arquivos maliciosos, possibilitando potencialmente a execução remota de código (RCE). Também foram relatadas falhas de escalonamento de privilégios, como CVE-2024-56043, que permitiam que usuários não autenticados ou com baixos privilégios elevassem seus papéis a administradores, possibilitando o controle total do site.

Além disso, vulnerabilidades de injeção de SQL, incluindo CVE-2024-56042, expunham informações sensíveis do banco de dados por meio de consultas maliciosas. Para corrigir essas falhas, os desenvolvedores lançaram atualizações para os plugins, sendo a versão 1.9.9.5.3 para o WPLMS e a versão 1.9.9.7.7 para o VibeBP.