Обнаружены уязвимости в трех популярных плагинах WordPress для онлайн-обучения
Исследователи Check Point Research выявили серьезные уязвимости в плагинах, которые чаще всего используются для организации онлайн-обучения. Поскольку пандемия вынуждает людей по всему миру учиться и работать не выходя из дома, ведущие образовательные учреждения и компании из списка Fortune 500 используют системы управления обучением (LMS) для проведения онлайн-занятий. Исследователи Check Point Research обнаружили проблемы безопасности в трех основных плагинах WordPress, которые позволяют превратить любой веб-сайт WordPress в полнофункциональную LMS. Речь идет о плагинах LearnPress, LearnDash и LifterLMS. Эти уязвимости позволяют учащимся, а также пользователям, не прошедшим проверку личности, красть личную информацию, деньги или получать привилегии преподавателей.
Система управления обучением (LMS) - хранилище, где собрана вся информация по онлайн-курсам, достижениям студентов, их статистике. Любой, кто имеет логин и пароль, может получить доступ к этой информации. Наиболее распространенным применением системы управления обучением является организация онлайн-обучения. Как правило, курсы загружаются в LMS, а дальше ими могут воспользоваться студенты. Поскольку миллионы людей регистрируются на онлайн-курсах из дома из-за пандемии, академические учреждения и работодатели используют LMS, чтобы создавать группы, проводить занятия, принимать курсовые работы, зачислять и оценивать студентов.
Недостатки безопасности были обнаружены в плагинах LearnPress, LearnDash и LifterLMS. Любой из этих трех плагинов может превратить веб-сайт на WordPress в полнофункциональную и простую в использовании систему управления обучением. Эти три плагина используются компаниями из списка Fortune 500 и некоторыми из ведущих университетов мира. В целом они установлены примерно на 100 тыс. различных образовательных платформ.
LearnPress: плагин, с помощью которого можно создать курсы с уроками и тестами, которые можно давать по мере того, как учащиеся продвигаются по учебной программе. Один из лучших плагинов WordPress для создания образовательных проектов, его используют более чем 21 тыс. школ; всего его установили около 80 тыс. раз.
LearnDash: простой, но функциональный плагин, который предоставляет инструменты для продажи курсов, оценивания учащихся и возможности для взаимодействия студентов. Более 33 тыс. веб-сайтов используют LearnDash, в том числе многие компании из списка Fortune 500.
LifterLMS: плагин, который предоставляет примеры курсов, образцы тестов, сертификаты и полностью настроенный веб-сайт. Этот плагин используют более 17 тыс. сайтов, включая агентства WordPress и преподавателей, а также различные школьные и образовательные учреждения.
Найденные уязвимости позволяют студентам, а также не прошедшим проверку личности пользователям получать конфиденциальную информацию и/ или контролировать всю платформу электронного обучения. В частности, любой может использовать недостатки безопасности, чтобы:
- Украсть личную информацию: электронные письма, имена пользователей и пароли;
- Перечислять деньги из системы управления обучением на свои банковские счета;
- Изменять свои оценки;
- Изменять оценки других студентов;
- Подделывать сертификаты;
- Получить ответы к тестам;
- Повышать свои привилегии до уровня учителя.
Уязвимости были обнаружены в марте. Исследователи Check Point передали информацию по каждой уязвимости соответствующим разработчикам. Все три системы исправили уязвимости, которые назвали CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 и CVE-2020-6011.
