Plattform
wordpress
Komponente
learning-management-system
Behoben in
2.1.7
CVE-2026-4484 is a Privilege Escalation vulnerability found in the Masteriyo LMS plugin for WordPress. This flaw allows authenticated attackers with Student-level access or higher to elevate their privileges to that of an administrator. The vulnerability affects all versions up to and including 2.1.6. Version 2.1.7 addresses this issue.
Das Masteriyo LMS Plugin für WordPress weist eine Schwachstelle zur Eskalation von Berechtigungen auf. Versionen bis einschließlich 2.1.6 sind anfällig. Ein authentifizierter Angreifer mit Student-Level Zugriff oder höher kann diese Schwachstelle ausnutzen, um seine Berechtigungen auf die eines Administrators zu erhöhen. Dies ermöglicht dem Angreifer, die vollständige Kontrolle über die Website zu übernehmen, Inhalte zu ändern, Plugins zu installieren, Daten zu löschen und jede Aktion auszuführen, die ein Administrator ausführen kann. Die Schwere der Schwachstelle ist hoch (CVSS 8.8) aufgrund der potenziellen Auswirkungen auf die Sicherheit und der relativen einfachen Ausnutzbarkeit. Das Fehlen angemessener Kontrollen innerhalb der Funktion 'InstructorsController::prepareobjectfor_database' ermöglicht diese Benutzerrollenmanipulation, wodurch die Integrität der Website und die Vertraulichkeit der Daten gefährdet werden.
Ein Angreifer mit einer Student-Rolle oder höher auf einer Website, die Masteriyo LMS bis zur Version 2.1.6 verwendet, kann diese Schwachstelle ausnutzen. Der Angreifer könnte die Funktion 'InstructorsController::prepareobjectfor_database' manipulieren, um seine eigene Rolle in Administrator zu ändern. Dies könnte durch das Injizieren von bösartigem Code oder die Manipulation von Anfrageparametern erreicht werden. Sobald der Angreifer Administratorzugriff hat, kann er jede Aktion auf der Website ausführen, einschließlich der Installation von Malware, dem Stehlen von Daten und der Änderung von Inhalten.
Exploit-Status
EPSS
0.05% (16% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist, das Masteriyo LMS Plugin sofort auf Version 2.1.7 oder höher zu aktualisieren. Diese Version enthält eine Korrektur für die Schwachstelle zur Eskalation von Berechtigungen. Überprüfen Sie außerdem die vorhandenen Benutzerrollen auf der Website, um verdächtige Berechtigungen zu identifizieren und zu widerrufen. Die Implementierung einer robusten Passwortrichtlinie und die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer, insbesondere für diejenigen mit Administratorrechten, kann dazu beitragen, das Risiko einer Ausnutzung zu mindern. Die Überwachung der Website-Protokolle auf ungewöhnliche Aktivitäten ist ebenfalls eine gute Sicherheitspraxis.
Aktualisieren Sie auf Version 2.1.7 oder eine neuere gepatchte Version
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass ein Benutzer mit begrenzten Berechtigungen Zugriff auf Funktionen oder Daten erhalten kann, die er normalerweise nicht haben sollte.
Als vorübergehende Maßnahme sollten Sie den Zugriff von Benutzern mit Student-Rollen auf kritische Website-Funktionen einschränken. Überprüfen Sie regelmäßig die Benutzerrollen auf unautorisierte Änderungen.
Suchen Sie nach ungewöhnlichen Aktivitäten in den Website-Protokollen, wie z. B. verdächtigen Anmeldungen oder unerwarteten Inhaltsänderungen. Verwenden Sie einen Sicherheitsscanner, um nach Malware zu suchen.
Es gibt WordPress-Schwachstellenscanner, die diese Schwachstelle erkennen können. Sie können auch den Plugin-Code manuell auf die Funktion 'InstructorsController::prepareobjectfor_database' überprüfen.
Sie finden weitere Informationen zu dieser Schwachstelle in der CVE-Schwachstellendatenbank: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-4484
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.