یافتههای جدید محققان امنیتی نشان میدهد که سه افزونه محبوب LearnPress، LearnDash و LifterLMS دارای نقصهای امنیتی بحرانی متعددی هستند که امکان سرقت و دستکاری اطلاعات را برای مهاجمان فراهم میسازند. این افزونههای وردپرسی روی بیش از ۱۳۰ هزار وبسایت دانشگاهی نصب شدهاند و در زمان گسترش ویروس کرونا توسط دانشگاهها به عنوان بخشی از سیستمهای مدیریت آموزشی بیشتر از همیشه مورد توجه قرار گرفتهاند.
براساس اطلاعات موجود، افزونه LearnPress در پلتفرمهای آموزشی برای ایجاد دروس و برگزاری امتحانات دانشجویان مورد استفاده قرار میگیرد. از افزونه LearnDash نیز برای فروش دروس آنلاین استفاده میشود که در بیش از ۳۳ هزار وبسایت نصب شده است. همچنین افزونه LifterLMS نمونههایی از دروس و امتحانات را ارائه میدهد که در بیش از ۱۷ هزار وبسایت نصب شده است.
در رابطه با آسیبپذیریهای این افزونهها، یکی از محققان امنیتی شرکت چکپوینت گفته است که ما ثابت کردیم که هکرها به راحتی می توانند کل پلتفرم آموزش الکترونیکی را به دست بگیرند که موسسات برتر آموزش و همچنین بسیاری از آکادمیهای آنلاین به منظور اجرای کل دورههای آنلاین و برنامههای آموزشی خود به این سیستمها متکی هستند. آسیبپذیریهای موجود، به دانش آموزان و حتی گاهی کاربران غیرمجاز اجازه میدهد تا اطلاعات حساسی را بدست آورند و پلتفرمهای LMS را به دست گیرند. ما از موسسههای آموزشی مربوطه میخواهیم سریعاً پلتفرمهای خود را به آخرین نسخه بهروزرسانی کنند که در آنها این از آسیبپذیریها اصلاح شدهاند.
به گفته محققان امنیتی، این نقصها بسیار جدی هستند و به مهاجمان شخص ثالث اجازه سرقت اطلاعات شخصی مانند نام، ایمیل، نام کاربری و رمزعبور را میدهند که حتی در برخی موارد، مهاجمان میتوانند روشهای پرداخت در پلتفرم را مورد هدف قرار دهند. همچنین باید افزود این نقصها به دانشجویان نیز این دسترسی را میدهد که نمرات خود را تغییر دهند و سوالات امتحان را پیش از برگزاری مشاهده کنند.
محققان این آسیبپذیریها را طی دو هفته در ماه مارس گذشته کشف کردهاند که گفته میشود همه این آسیبپذیریها از آن زمان اصلاح شدهاند.
توضیحات بیشتر:
- Critical WordPress e-Learning Plugin Bugs Open Door to Cheating