वर्डप्रेस के लिए Masteriyo LMS प्लगइन 2.1.6 तक के सभी संस्करणों में विशेषाधिकार वृद्धि (Privilege Escalation) के लिए असुरक्षित है। ऐसा इसलिए है क्योंकि प्लगइन 'InstructorsController::prepare_object_for_database' फ़ंक्शन के माध्यम से उपयोगकर्ता को उपयोगकर्ता भूमिका अपडेट करने की अनुमति देता है। यह प्रमाणित हमलावरों के लिए, स्टूडेंट-लेवल एक्सेस और उससे ऊपर के साथ, अपने विशेषाधिकारों को एक व्यवस्थापक के स्तर तक बढ़ाना संभव बनाता है।

WordPress के Masteriyo LMS प्लगइन में विशेषाधिकार वृद्धि (Privilege Escalation) की भेद्यता है। 2.1.6 और उससे पहले के संस्करणों में यह भेद्यता मौजूद है। एक प्रमाणित हमलावर (Authenticated Attacker) जिसके पास छात्र स्तर का एक्सेस है, वह इस कमजोरी का फायदा उठाकर अपने विशेषाधिकारों को व्यवस्थापक (Administrator) के स्तर तक बढ़ा सकता है। इससे हमलावर वेबसाइट पर पूर्ण नियंत्रण प्राप्त कर सकता है, सामग्री को संशोधित कर सकता है, प्लगइन्स स्थापित कर सकता है, डेटा हटा सकता है और व्यवस्थापक द्वारा किए जा सकने वाले किसी भी कार्य को कर सकता है। इस भेद्यता की गंभीरता उच्च (CVSS 8.8) है क्योंकि यह सुरक्षा पर संभावित प्रभाव और शोषण में सापेक्ष आसानी के कारण है। 'InstructorsController::prepareobjectfor_database' फ़ंक्शन के भीतर उचित नियंत्रण की कमी इस उपयोगकर्ता भूमिका हेरफेर को सक्षम करती है, जिससे वेबसाइट की अखंडता और डेटा गोपनीयता से समझौता होता है।

1. आरक्षित2026-03-20
2. प्रकाशित2026-03-26
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-02

अनुशंसित समाधान Masteriyo LMS प्लगइन को तुरंत संस्करण 2.1.7 या बाद के संस्करण में अपडेट करना है। इस संस्करण में विशेषाधिकार वृद्धि भेद्यता के लिए एक सुधार शामिल है। इसके अतिरिक्त, वेबसाइट पर मौजूदा उपयोगकर्ता भूमिकाओं की समीक्षा करें ताकि किसी भी संदिग्ध विशेषाधिकारों की पहचान की जा सके और उन्हें रद्द कर दिया जाए। एक मजबूत पासवर्ड नीति लागू करना और सभी उपयोगकर्ताओं के लिए, विशेष रूप से व्यवस्थापक भूमिकाओं वाले उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण (2FA) को सक्षम करना, शोषण के जोखिम को कम करने में मदद कर सकता है। वेबसाइट लॉग की निगरानी असामान्य गतिविधि के लिए भी एक अच्छी सुरक्षा प्रथा है।

सक्रिय इंस्टॉलेशन

4Kज्ञात

प्लगइन रेटिंग