Исследователи Check Point Research выявили серьезные уязвимости в плагинах, которые чаще всего используются для организации онлайн-обучения. Поскольку пандемия вынуждает людей по всему миру учиться и работать не выходя из дома, ведущие образовательные учреждения и компании из списка Fortune 500 используют системы управления обучением (LMS) для проведения онлайн-занятий. Исследователи Check Point Research обнаружили проблемы безопасности в трех основных плагинах WordPress, которые позволяют превратить любой веб-сайт WordPress в полнофункциональную LMS. Речь идет о плагинах LearnPress, LearnDash и LifterLMS. Эти уязвимости позволяют учащимся, а также пользователям, не прошедшим проверку личности, красть личную информацию, деньги или получать привилегии преподавателей.

Система управления обучением (LMS) – хранилище, где собрана вся информация по онлайн-курсам, достижениям студентов, их статистике. Любой, кто имеет логин и пароль, может получить доступ к этой информации. Наиболее распространенным применением системы управления обучением является организация онлайн-обучения. Как правило, курсы загружаются в LMS, а дальше ими могут воспользоваться студенты. Поскольку миллионы людей регистрируются на онлайн-курсах из дома из-за пандемии, академические учреждения и работодатели используют LMS, чтобы создавать группы, проводить занятия, принимать курсовые работы, зачислять и оценивать студентов.

Недостатки безопасности были обнаружены в плагинах LearnPress, LearnDash и LifterLMS. Любой из этих трех плагинов может превратить веб-сайт на WordPress в полнофункциональную и простую в использовании систему управления обучением. Эти три плагина используются компаниями из списка Fortune 500 и некоторыми из ведущих университетов мира. В целом они установлены примерно на 100 тыс. различных образовательных платформ.

LearnPress: плагин, с помощью которого можно создать курсы с уроками и тестами, которые можно давать по мере того, как учащиеся продвигаются по учебной программе. Один из лучших плагинов WordPress для создания образовательных проектов, его используют более чем 21 тыс. школ; всего его установили около 80 тыс. раз.

LearnDash: простой, но функциональный плагин, который предоставляет инструменты для продажи курсов, оценивания учащихся и возможности для взаимодействия студентов. Более 33 тыс. веб-сайтов используют LearnDash, в том числе многие компании из списка Fortune 500.

LifterLMS: плагин, который предоставляет примеры курсов, образцы тестов, сертификаты и полностью настроенный веб-сайт. Этот плагин используют более 17 тыс. сайтов, включая агентства WordPress и преподавателей, а также различные школьные и образовательные учреждения.

Найденные уязвимости позволяют студентам, а также не прошедшим проверку личности пользователям получать конфиденциальную информацию и/ или контролировать всю платформу электронного обучения. В частности, любой может использовать недостатки безопасности, чтобы:

• Украсть личную информацию: электронные письма, имена пользователей и пароли;
• Перечислять деньги из системы управления обучением на свои банковские счета;
• Изменять свои оценки;
• Изменять оценки других студентов;
• Подделывать сертификаты;
• Получить ответы к тестам;
• Повышать свои привилегии до уровня учителя.

Уязвимости были обнаружены в марте. Исследователи Check Point передали информацию по каждой уязвимости соответствующим разработчикам. Все три системы исправили уязвимости, которые назвали CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 и CVE-2020-6011.

Источник: ko.com.ua