UNKNOWNCVE-2026-4484
WordPress用 Masteriyo LMS プラグインは、バージョン 2.1.6 以前のすべてのバージョンにおいて、権限昇格の脆弱性があります。これは、プラグインが 'InstructorsController::prepare_object_for_database' 関数を通じてユーザーがユーザーロールを更新することを許可しているためです。これにより、Studentレベル以上のアカウントを持つ認証済みの攻撃者が、管理者権限に昇格することが可能になります。
プラットフォーム
wordpress
コンポーネント
learning-management-system
修正バージョン
2.1.7
WordPress用 Masteriyo LMS プラグインは、バージョン 2.1.6 以前のすべてのバージョンにおいて、権限昇格の脆弱性があります。これは、プラグインが 'InstructorsController::prepare_object_for_database' 関数を通じてユーザーがユーザーロールを更新することを許可しているためです。これにより、Studentレベル以上のアカウントを持つ認証済みの攻撃者が、管理者権限に昇格することが可能になります。
修正方法
バージョン 2.1.7、またはそれ以降の修正済みバージョンにアップデートしてください