Des failles de sécurité dans les outils d’apprentissage de Wordpress
(2020/05/05)
- Reference: 2020-05-05T06_42_56Z
- News link: https://www.toolinux.com/?Des-failles-de-securite-dans-les-outils-d-apprentissage-de-Wordpress
- Source link:
Des failles de sécurité dans les outils d’apprentissage de Wordpress
mardi 5 mai 2020
Des chercheurs ont identifié différentes vulnérabilités dans les modules d’apprentissage en ligne les plus répandus, utilisés quotidiennement par les établissements d’enseignement et par les grandes entreprises. Principale cible ? Le CMS open source Wordpress .
Des failles de sécurité dans les outils d’apprentissage de Wordpress
Qu’est-ce qu’un Learning Management Systeem ?
On peut comparer un Learning Management System (LMS) - ou système de gestion de l’apprentissage - à un grand espace de stockage où il est possible d’enregistrer et de tenir à jour des informations éducatives. Il suffit d’un identifiant et d’un mot de passe pour avoir accès à ce matériel de cours, partout et à tout moment.
Les logiciels LMS sont essentiellement utilisés pour des formations en ligne. Généralement, les fichiers sont téléchargés vers le LMS, de quoi les rendre aisément accessibles à distance par les élèves.
Wordpress : plugins défaillants
Les chercheurs de Check Point ont notamment découvert des failles de sécurité dans trois modules Wordpress très répandus , en l’occurrence LearnPress , LearnDash et LifterLMS .
Les failles en détail
Des failles de sécurité ont été découvertes dans LearnDash (notamment au niveau des fonctionnalités de vente de cours et du système de récompense), dans LifterLMS (entre autres pour l’octroi de certificats) et dans LearnPress (notamment pour la création de cours). Wordfence, lui aussi, a récemment découvert une vulnérabilité dans LearnPress.
Chacun de ces modules peut transformer n’importe quel site Internet créé en WordPress en un LMS convivial et pleinement fonctionnel. Les trois modules sont utilisés par des entreprises et des universités.
Quels sont les risques ?
Des étudiants et des utilisateurs non authentifiés peuvent exploiter de telles brèches de sécurité pour dérober des informations personnelles, subtiliser de l’argent, voire même s’approprier les droits d’accès des enseignants et des formateurs.
Certaines failles corrigées
Les vulnérabilités ont été détectées sur une période de deux semaines dans le courant du mois de mars 2020. Chaque vulnérabilité a été partagée avec leurs développeurs respectifs. Entre-temps, tous trois ont publié un correctif afin de colmater les brèches (CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 et CVE-2020-6011).
Que faire ? Mettre à jour les extensions Wordpress concernées.
[1]
[1] https://www.toolinux.com/?Des-failles-de-securite-dans-les-outils-d-apprentissage-de-Wordpress#forum
mardi 5 mai 2020
Des chercheurs ont identifié différentes vulnérabilités dans les modules d’apprentissage en ligne les plus répandus, utilisés quotidiennement par les établissements d’enseignement et par les grandes entreprises. Principale cible ? Le CMS open source Wordpress .
Des failles de sécurité dans les outils d’apprentissage de Wordpress
Qu’est-ce qu’un Learning Management Systeem ?
On peut comparer un Learning Management System (LMS) - ou système de gestion de l’apprentissage - à un grand espace de stockage où il est possible d’enregistrer et de tenir à jour des informations éducatives. Il suffit d’un identifiant et d’un mot de passe pour avoir accès à ce matériel de cours, partout et à tout moment.
Les logiciels LMS sont essentiellement utilisés pour des formations en ligne. Généralement, les fichiers sont téléchargés vers le LMS, de quoi les rendre aisément accessibles à distance par les élèves.
Wordpress : plugins défaillants
Les chercheurs de Check Point ont notamment découvert des failles de sécurité dans trois modules Wordpress très répandus , en l’occurrence LearnPress , LearnDash et LifterLMS .
Les failles en détail
Des failles de sécurité ont été découvertes dans LearnDash (notamment au niveau des fonctionnalités de vente de cours et du système de récompense), dans LifterLMS (entre autres pour l’octroi de certificats) et dans LearnPress (notamment pour la création de cours). Wordfence, lui aussi, a récemment découvert une vulnérabilité dans LearnPress.
Chacun de ces modules peut transformer n’importe quel site Internet créé en WordPress en un LMS convivial et pleinement fonctionnel. Les trois modules sont utilisés par des entreprises et des universités.
Quels sont les risques ?
Des étudiants et des utilisateurs non authentifiés peuvent exploiter de telles brèches de sécurité pour dérober des informations personnelles, subtiliser de l’argent, voire même s’approprier les droits d’accès des enseignants et des formateurs.
Certaines failles corrigées
Les vulnérabilités ont été détectées sur une période de deux semaines dans le courant du mois de mars 2020. Chaque vulnérabilité a été partagée avec leurs développeurs respectifs. Entre-temps, tous trois ont publié un correctif afin de colmater les brèches (CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 et CVE-2020-6011).
Que faire ? Mettre à jour les extensions Wordpress concernées.
[1]
[1] https://www.toolinux.com/?Des-failles-de-securite-dans-les-outils-d-apprentissage-de-Wordpress#forum