Plataforma
wordpress
Componente
learning-management-system
Corregido en
1.7.3
La vulnerabilidad de Escalada de Privilegios (CVE-2024-24882) en LMS by Masteriyo permite a atacantes obtener acceso no autorizado a funcionalidades restringidas. Esta falla afecta a las versiones del LMS desde la versión desconocida hasta la 1.7.2. La versión 1.7.3 incluye una corrección para esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad podría escalar privilegios dentro del sistema LMS, obteniendo acceso a datos sensibles, modificando la configuración del sistema o incluso comprometiendo la integridad de la plataforma. Esto podría resultar en la exposición de información confidencial de los usuarios, la manipulación de cursos y contenido educativo, y la interrupción de las operaciones del LMS. La falta de control de acceso adecuado permite a usuarios no autorizados realizar acciones que deberían estar restringidas a administradores o roles específicos.
El CVE-2024-24882 fue publicado el 17 de mayo de 2024. No se ha reportado explotación activa a la fecha, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Es importante aplicar la mitigación lo antes posible para evitar posibles ataques. No se ha añadido a KEV a la fecha.
WordPress websites utilizing the Masteriyo LMS plugin, particularly those running versions prior to 1.7.3, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to lateral movement to others.
• wordpress / composer / npm:
wp plugin list | grep Masteriyo• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'masteriyo_lms_settings' /var/www/html/wp-content/plugins/• generic web: Check WordPress plugin directory for updated version and security advisories.
disclosure
Estado del Exploit
EPSS
48.28% (98% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar LMS by Masteriyo a la versión 1.7.3 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente los permisos de usuario y roles dentro del LMS, restringiendo el acceso a las funcionalidades críticas. Implementar un sistema de auditoría robusto para detectar actividades sospechosas y monitorear los registros del sistema en busca de intentos de escalada de privilegios. Después de la actualización, confirme la corrección revisando los permisos de usuario y verificando que las funcionalidades restringidas solo sean accesibles a los usuarios autorizados.
Actualice el plugin LMS by Masteriyo a la última versión disponible. La vulnerabilidad de escalada de privilegios se ha corregido en versiones posteriores a la 1.7.2. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'LMS by Masteriyo' para actualizarlo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-24882 is a critical vulnerability in Masteriyo LMS for WordPress that allows attackers to escalate privileges and gain unauthorized access. It affects versions up to 1.7.2.
Yes, if you are using Masteriyo LMS version 1.7.2 or earlier, you are vulnerable to this privilege escalation flaw.
Upgrade Masteriyo LMS to version 1.7.3 or later to resolve the vulnerability. If immediate upgrade isn't possible, restrict access to the plugin's admin interface.
As of now, there are no publicly known active exploits, but the high CVSS score indicates a potential for exploitation.
Refer to the Masteriyo website and WordPress plugin directory for the latest security advisories and updates related to CVE-2024-24882.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.