Bugs critiques trouvés dans 3 plugins d’e-learning populaires pour les sites WordPress

Les chercheurs en sécurité tirent la sonnette d’alarme concernant les vulnérabilités récemment découvertes dans un système populaire de gestion de l’apprentissage en ligne (LMS) que diverses organisations et universités utilisent pour offrir des cours de formation en ligne sur leurs sites web basés sur WordPress.

Selon l’équipe de recherche Check Point, les trois plugins WordPress en question – LearnPress, LearnDashet LifterLMS – présentent des failles de sécurité qui pourraient permettre aux étudiants, ainsi qu’aux utilisateurs non authentifiés, de dérober les informations personnelles des utilisateurs enregistrés et même d’obtenir des privilèges d’enseignant.

« A cause du coronavirus, nous faisons tout depuis chez nous, y compris notre apprentissage formel, » Point de contrôle a déclaré Omri Herscovici, de Research. « Les vulnérabilités découvertes permettent aux étudiants, et parfois même à des utilisateurs non authentifiés, d’obtenir des informations sensibles ou de prendre le contrôle des plateformes LMS ».

Les trois systèmes LMS sont installés sur environ 100 000 plateformes éducatives différentes, y compris de grandes universités telles que l’Université de Floride, l’Université du Michigan et l’Université de Washington, entre autres.

À eux seuls, LearnPress et LifterLMS ont été téléchargés plus de 1,6 million de fois depuis leur lancement.

Vulnérabilités multiples dans les plugins LMS de WordPress

La LMS facilite l’apprentissage en ligne grâce à une application logicielle qui permet aux établissements d’enseignement et aux employeurs de créer des programmes de cours, de partager des travaux de cours, d’inscrire des étudiants et d’évaluer les étudiants à l’aide de quiz.

Des plugins tels que LearnPress, LearnDash et LifterLMS facilitent la tâche en adaptant n’importe quel site WordPress à un LMS pleinement fonctionnel et facile à utiliser.

Les défauts de LearnPress sont les suivants injection SQL aveugle (CVE-2020-6010) pour privilégier l’escalade (CVE-2020-11511), qui peut autoriser un utilisateur existant à obtenir un rôle d’enseignant.

« De manière inattendue, le code ne vérifie pas les autorisations de l’utilisateur demandeur, permettant ainsi à n’importe quel étudiant d’appeler cette fonction », ont déclaré les chercheurs.

LearnDash, de même, souffre d’une faille d’injection SQL (CVE-2020-6009) qui permet à un adversaire d’élaborer une requête SQL malveillante en utilisant la notification instantanée de paiement de PayPal (IPN) pour déclencher de fausses transactions d’inscription à des cours.

Enfin, la vulnérabilité d’écriture de fichier arbitraire de LifterLMS (CVE-2020-6008) exploite la nature dynamique des applications PHP pour permettre à un attaquant, par exemple un étudiant inscrit à un cours spécifique, de changer le nom de son profil en un morceau de code PHP malveillant.

Au total, les failles permettent aux agresseurs de voler des informations personnelles (noms, courriels, noms d’utilisateur, mots de passe, etc…), et aux étudiants de changer de notes, de récupérer des tests et des réponses à des tests préalables, et aussi de falsifier des certificats.

« Les plateformes impliquent un paiement ; par conséquent, les régimes financiers sont également applicables en cas de modification du site web sans information du webmaster », ont averti les chercheurs.

Selon Check Point Research, les vulnérabilités ont été découvertes en mars et ont été divulguées de manière responsable aux plateformes concernées. Les trois systèmes LMS ont depuis publié des correctifs pour résoudre les problèmes.

Il est recommandé aux utilisateurs de se mettre à jour avec les dernières versions de ces plugins.