Descubren vulnerabilidades en tres plugins de WordPress para formación online

Redacción Silicon,

Los fallos en LearnPress, LifterLMS y LearnDash permiten obtener privilegios de profesor, robar información personal y desviar el dinero de los pagos.

Con la crisis del coronavirus ha crecido el comercio electrónico, el teletrabajo… y la formación a distancia.

“El coronavirus ha hecho que la población tenga que realizar todas sus actividades desde casa”, observa Omri Herscovici, jefe de equipo de investigación de vulnerabilidades de Check Point. “Por este motivo, las principales instituciones educativas, así como muchas academias, confían en los sistemas para continuar con su actividad de forma virtual. Sin embargo, los estudiantes y empleados que acceden a estas plataformas de eLearning probablemente no saben lo peligroso que puede ser”.

Esta compañía de seguridad ha detectado fallos en tres populares plugins de WordPress que permiten desplegar funciones de formación online: LearnPress, LifterLMS y LearnDash.

Unas 21 000 escuelas usan LearnPress, que está instalado en más de 80 000 dispositivos, para generar cursos y lecciones a medida con pruebas de nivel. LifterLMS también proporciona test de nivel, así como ejemplos de cursos, certificados y páginas configuradas a más de 17 000 sitios. Por su parte LearnDash ofrece herramientas para suministrar contenido, comercializar cursos y dar recompensas a los alumnos, estando presente en más de 33 000 sitios, entre ellos los de las Universidades de Florida, Michigan y Washington y varias empresas de la lista Fortune 500.

Las vulnerabilidades detectadas por Check Point permiten hackear sistemas informáticos para acabar tomando el control de la información académica. Por ejemplo, para acceder a las respuestas de los exámenes, modificar notas y falsificar certificados. Esto significa obtener privilegios de profesor. Otra posibilidad es robar información personal como nombres, correos electrónicos y contraseñas. Un ciberdelincuente incluso podría desviar el dinero de los pagos a su cuenta bancaria.

“Con la investigación que hemos llevado a cabo hemos descubierto vulnerabilidades que permiten a los cibercriminales tomar el control de estas plataformas con suma facilidad y, como consecuencia, poder acceder a información sensible”, resume. “Por este motivo, desde Check Point aconsejamos a todas aquellas instituciones académicas que cuenten con este tipo de plataformas para actualizar el software y contar con la última versión disponible“.

Check Point ha informado de cada vulnerabilidad a los desarrolladores, que han implementado las medidas de seguridad correspondientes.