Check Point發(fā)現(xiàn)在線學(xué)習(xí)平臺(tái)中的缺陷

Check Point的研究人員發(fā)現(xiàn)，廣泛使用的WordPress插件存在嚴(yán)重漏洞，這些插件被頂級(jí)學(xué)術(shù)機(jī)構(gòu)和主要企業(yè)用于大規(guī)模在線學(xué)習(xí)。

通過(guò)利用LearnPress，LearnDash和LifterLMS中的漏洞，學(xué)生以及未經(jīng)身份驗(yàn)證的用戶都可以濫用安全漏洞來(lái)竊取個(gè)人信息，竊取金錢(qián)并在平臺(tái)上獲得教師特權(quán)。

Check Point漏洞研究小組負(fù)責(zé)人Omri Herscovici說(shuō)：“由于，我們正在家里進(jìn)行一切工作，包括我們的正規(guī)學(xué)習(xí)。登錄電子學(xué)習(xí)網(wǎng)站的學(xué)生和員工可能并不知道這有多么危險(xiǎn)。我們事實(shí)證明，黑客可以輕松控制整個(gè)eLearning平臺(tái)，頂級(jí)教育機(jī)構(gòu)以及許多在線學(xué)院都依靠我們研究的系統(tǒng)來(lái)運(yùn)行其整個(gè)在線課程和培訓(xùn)計(jì)劃。發(fā)現(xiàn)的漏洞使學(xué)生和有時(shí)甚至未經(jīng)身份驗(yàn)證的用戶也可以獲取敏感信息或控制LMS平臺(tái)。我們敦促各地的相關(guān)教育機(jī)構(gòu)檢查他們是否正在使用這些插件，并更新到最新版本。”

研究人員在2020年3月的兩個(gè)星期內(nèi)發(fā)現(xiàn)了這些漏洞。CheckPoint負(fù)責(zé)任地向適當(dāng)?shù)拈_(kāi)發(fā)人員披露了各自平臺(tái)中的每個(gè)漏洞，并且現(xiàn)已修復(fù)了所有漏洞。任何運(yùn)行LMS平臺(tái)的IT團(tuán)隊(duì)都應(yīng)檢查他們是否正在使用受影響的插件，并更新至最新版本，以消除漏洞。