Plateforme
wordpress
Composant
learning-management-system
Corrigé dans
2.1.7
La vulnérabilité CVE-2026-4484 affecte le plugin Masteriyo LMS pour WordPress. Elle permet une escalade de privilèges, donnant la possibilité à un utilisateur authentifié de modifier son rôle et d'obtenir les droits d'administrateur. Les versions affectées sont toutes les versions inférieures ou égales à la version 2.1.6. La vulnérabilité est corrigée dans la version 2.1.7.
Le plugin Masteriyo LMS pour WordPress présente une vulnérabilité d'escalade de privilèges. Les versions jusqu'à et y compris la 2.1.6 sont vulnérables. Un attaquant authentifié avec un accès de niveau Étudiant ou supérieur peut exploiter cette faille pour élever ses privilèges à ceux d'un administrateur. Cela permet à l'attaquant de contrôler entièrement le site web, de modifier le contenu, d'installer des plugins, de supprimer des données et d'effectuer toute action qu'un administrateur peut faire. La gravité de la vulnérabilité est élevée (CVSS 8.8) en raison de l'impact potentiel sur la sécurité et de la facilité relative d'exploitation. L'absence de contrôles appropriés dans la fonction 'InstructorsController::prepareobjectfor_database' permet cette manipulation des rôles utilisateur, compromettant l'intégrité du site web et la confidentialité des données.
Un attaquant ayant un rôle d'Étudiant ou supérieur sur un site web utilisant Masteriyo LMS jusqu'à la version 2.1.6 peut exploiter cette vulnérabilité. L'attaquant pourrait manipuler la fonction 'InstructorsController::prepareobjectfor_database' pour modifier son propre rôle en Administrateur. Cela pourrait être réalisé par l'injection de code malveillant ou la manipulation des paramètres de la requête. Une fois que l'attaquant a un accès administrateur, il peut effectuer toute action sur le site web, y compris l'installation de logiciels malveillants, le vol de données et la modification du contenu.
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour immédiatement le plugin Masteriyo LMS à la version 2.1.7 ou ultérieure. Cette version inclut une correction pour la vulnérabilité d'escalade de privilèges. De plus, examinez les rôles utilisateur existants sur le site web pour identifier et révoquer tout privilège suspect. La mise en œuvre d'une politique de mots de passe robuste et l'activation de l'authentification à deux facteurs (2FA) pour tous les utilisateurs, en particulier ceux ayant des rôles d'administrateur, peuvent aider à atténuer le risque d'exploitation. Surveiller les journaux du site web à la recherche d'activités inhabituelles est également une bonne pratique de sécurité.
Mettez à jour vers la version 2.1.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie qu'un utilisateur ayant des permissions limitées peut obtenir un accès à des fonctions ou des données auxquelles il ne devrait normalement pas avoir accès.
En tant que mesure temporaire, limitez l'accès des utilisateurs ayant des rôles d'Étudiant aux fonctions critiques du site web. Examinez régulièrement les rôles utilisateur pour détecter les modifications non autorisées.
Recherchez des activités inhabituelles dans les journaux du site web, telles que des connexions suspectes ou des modifications inattendues du contenu. Utilisez un scanner de sécurité pour rechercher des logiciels malveillants.
Il existe des scanners de vulnérabilités WordPress qui peuvent détecter cette vulnérabilité. Vous pouvez également examiner manuellement le code du plugin à la recherche de la fonction 'InstructorsController::prepareobjectfor_database'.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données de vulnérabilités CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-4484
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.