Scanner gratuitement
HIGHCVE-2026-4484CVSS 8.8

Le plugin Masteriyo LMS pour WordPress est vulnérable à une élévation de privilèges dans toutes les versions jusqu'à la version 2.1.6 incluse. Cela est dû au fait que le plugin permet à un utilisateur de mettre à jour le rôle d'utilisateur via la fonction 'InstructorsController::prepare_object_for_database'. Cela permet aux attaquants authentifiés, avec un accès de niveau étudiant (Student) ou supérieur, d'élever leurs privilèges à ceux d'un administrateur.

Plateforme

wordpress

Composant

learning-management-system

Corrigé dans

2.1.7

AI Confidence: highNVDEPSS 0.1%Révisé: mars 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-4484 affecte le plugin Masteriyo LMS pour WordPress. Elle permet une escalade de privilèges, donnant la possibilité à un utilisateur authentifié de modifier son rôle et d'obtenir les droits d'administrateur. Les versions affectées sont toutes les versions inférieures ou égales à la version 2.1.6. La vulnérabilité est corrigée dans la version 2.1.7.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

Le plugin Masteriyo LMS pour WordPress présente une vulnérabilité d'escalade de privilèges. Les versions jusqu'à et y compris la 2.1.6 sont vulnérables. Un attaquant authentifié avec un accès de niveau Étudiant ou supérieur peut exploiter cette faille pour élever ses privilèges à ceux d'un administrateur. Cela permet à l'attaquant de contrôler entièrement le site web, de modifier le contenu, d'installer des plugins, de supprimer des données et d'effectuer toute action qu'un administrateur peut faire. La gravité de la vulnérabilité est élevée (CVSS 8.8) en raison de l'impact potentiel sur la sécurité et de la facilité relative d'exploitation. L'absence de contrôles appropriés dans la fonction 'InstructorsController::prepareobjectfor_database' permet cette manipulation des rôles utilisateur, compromettant l'intégrité du site web et la confidentialité des données.

Contexte d'Exploitation

Un attaquant ayant un rôle d'Étudiant ou supérieur sur un site web utilisant Masteriyo LMS jusqu'à la version 2.1.6 peut exploiter cette vulnérabilité. L'attaquant pourrait manipuler la fonction 'InstructorsController::prepareobjectfor_database' pour modifier son propre rôle en Administrateur. Cela pourrait être réalisé par l'injection de code malveillant ou la manipulation des paramètres de la requête. Une fois que l'attaquant a un accès administrateur, il peut effectuer toute action sur le site web, y compris l'installation de logiciels malveillants, le vol de données et la modification du contenu.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.05% (percentile 16%)

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantlearning-management-system
Fournisseurwordfence
Plage affectéeCorrigé dans
0.0.0 – 2.1.62.1.7

Informations sur le paquet

Installations actives
4KConnu
Note du plugin
4.8
Nécessite WordPress
6.6+
Compatible jusqu'à
7.0
Nécessite PHP
7.4+
Site web

Classification de Faiblesse (CWE)

CWE-862

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La solution recommandée est de mettre à jour immédiatement le plugin Masteriyo LMS à la version 2.1.7 ou ultérieure. Cette version inclut une correction pour la vulnérabilité d'escalade de privilèges. De plus, examinez les rôles utilisateur existants sur le site web pour identifier et révoquer tout privilège suspect. La mise en œuvre d'une politique de mots de passe robuste et l'activation de l'authentification à deux facteurs (2FA) pour tous les utilisateurs, en particulier ceux ayant des rôles d'administrateur, peuvent aider à atténuer le risque d'exploitation. Surveiller les journaux du site web à la recherche d'activités inhabituelles est également une bonne pratique de sécurité.

Comment corriger

Mettez à jour vers la version 2.1.7, ou une version corrigée plus récente

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-4484 — Privilege Escalation dans Masteriyo LMS – Online Course Builder for eLearning, LMS & Education ?

Cela signifie qu'un utilisateur ayant des permissions limitées peut obtenir un accès à des fonctions ou des données auxquelles il ne devrait normalement pas avoir accès.

Suis-je affecté(e) par CVE-2026-4484 dans Masteriyo LMS – Online Course Builder for eLearning, LMS & Education ?

En tant que mesure temporaire, limitez l'accès des utilisateurs ayant des rôles d'Étudiant aux fonctions critiques du site web. Examinez régulièrement les rôles utilisateur pour détecter les modifications non autorisées.

Comment corriger CVE-2026-4484 dans Masteriyo LMS – Online Course Builder for eLearning, LMS & Education ?

Recherchez des activités inhabituelles dans les journaux du site web, telles que des connexions suspectes ou des modifications inattendues du contenu. Utilisez un scanner de sécurité pour rechercher des logiciels malveillants.

CVE-2026-4484 est-il activement exploité ?

Il existe des scanners de vulnérabilités WordPress qui peuvent détecter cette vulnérabilité. Vous pouvez également examiner manuellement le code du plugin à la recherche de la fonction 'InstructorsController::prepareobjectfor_database'.

Où trouver l'avis officiel de Masteriyo LMS – Online Course Builder for eLearning, LMS & Education pour CVE-2026-4484 ?

Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données de vulnérabilités CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-4484

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE