Check Point descubre fallos en los plugins de WordPress que usan las plataformas de e-learning

  • Vulnerabilidades

Los investigadores de Check Point han descubierto una vulnerabilidad en tres de los plugins más utilizados para desarrollar plataformas de formación online: LearnPress, LearnDash y LifterLMS. Este fallo de seguridad permite a cualquier persona obtener privilegios de profesor y, de esta forma, robar información personal o incluso obtener beneficios económicos.

 

Recomendados: 

WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro 

WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro

En un momento en el que la seguridad de las plataformas de e-learning es clave, ya que son sistemas que están siendo utilizados para dar continuidad a los cursos de gran cantidad de estudiantes, Check Point ha descubierto una vulnerablidad en LearnPress, LearnDash y LifterLMS, tres de los plugins más utilizados para desarrollar este tipo de plataformas.

Al parecer, según explican sus investigadores, este fallo de seguridad permite a cualquier persona obtener privilegios de profesor y, de esta forma, robar información personal o incluso obtener beneficios económicos, y no sería complicado ser víctima de los ciberdelincuentes si se utiliza un sistema de este tipo que emplee estos plugins, ya que “permiten a los cibercriminales tomar el control de estas plataformas con suma facilidad y, como consecuencia, poder acceder a información sensible”, ha advertido Omri Herscovici, jefe de equipo de investigación de vulnerabilidades de la firma.

Cualquiera de estos tres plugins, presentes en aproximadamente 100.000 plataformas educativas diferentes, puede transformar cualquier sitio web de WordPress en un sistema de gestión de formación completamente funcional y fácil de usar. Los tres plugins afectados por esta vulnerabilidad son:

- LearnPress: es uno de los sistemas de gestión más populares del sector. Este plugin permite generar cursos y lecciones a medida con pruebas de nivel que permiten a los estudiantes ir avanzando niveles en el plan de estudios. Se utiliza en más de 21.000 escuelas y está instalado en más de 80.000 dispositivos.
- LearnDash: este plugin proporciona las herramientas necesarias para suministrar contenido, comercializar cursos, recompensar a los alumnos o poner en marcha actividades. Más de 33.000 sitios web utilizan LearnDash, incluyendo muchas empresas de la lista Fortune 500, así como las Universidades de Florida, Michigan y Washington.
- LifterLMS: proporciona ejemplos de cursos y test de nivel, así como certificados y una página web totalmente configurada. Más de 17.000 sitios web utilizan este plugin, incluyendo agencias de WordPress y educadores, junto con varias escuelas y diversas instituciones educativas.

No obstante, los investigadores de Check Point revelaron cada una de las vulnerabilidades (conocidas como CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 y CVE-2020-6011) en las respectivas plataformas a los desarrolladores apropiados, y que ya han sido subsanadas. Asimismo, otra de las vulnerabilidades (denominada CVE-2020-11511) encontradas por el equipo de investigadores de la compañía ya había sido detectada por Wordfence.