Platform
wordpress
Component
academy
Opgelost in
1.9.20
CVE-2024-1505 is a privilege escalation vulnerability discovered in the Academy LMS plugin for WordPress. This flaw allows authenticated attackers, even those with minimal permissions like student accounts, to escalate their user role to administrator. The vulnerability impacts versions of the plugin up to and including 1.9.19. A patch is available to address this issue.
Een succesvolle exploitatie van CVE-2024-1505 kan verstrekkende gevolgen hebben. Een aanvaller met studentenrechten kan, na succesvolle exploitatie, volledige controle over de Academy LMS installatie verkrijgen. Dit omvat de mogelijkheid om gebruikersaccounts te beheren, cursusmateriaal te wijzigen, en zelfs de WordPress website zelf te compromitteren. De impact is aanzienlijk, aangezien de aanvaller in staat is om de integriteit en vertrouwelijkheid van de leeromgeving te schenden. De blast radius omvat alle data en functionaliteit binnen de Academy LMS plugin, en potentieel de gehele WordPress website.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2024-1505. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in de NVD (National Vulnerability Database) en gepubliceerd op 13 maart 2024. De EPSS score is momenteel niet bekend, maar gezien de privilege escalatie aard en de WordPress omgeving, verdient deze kwetsbaarheid aandacht.
WordPress sites utilizing the Academy LMS plugin, particularly those with student accounts or other low-privilege users, are at risk. Shared hosting environments where multiple WordPress installations share resources are also at increased risk, as a compromise of one site could potentially be leveraged to exploit this vulnerability on others.
• wordpress / composer / npm:
grep -r 'saved_user_info()' /var/www/html/wp-content/plugins/academy-lms/*• wordpress / composer / npm:
wp plugin list --status=all | grep academy-lms• wordpress / composer / npm:
wp plugin update academy-lms --alldisclosure
Exploit Status
EPSS
0.18% (39% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-1505 is het updaten van de Academy LMS plugin naar een versie hoger dan 1.9.19. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers met studentenrechten. Controleer de WordPress plugin directory op updates en volg de instructies van de plugin-ontwikkelaar voor een veilige upgrade. Na de upgrade, verifieer de correcte werking van de plugin en controleer de gebruikersrollen om er zeker van te zijn dat de privilege escalatie niet meer mogelijk is.
Actualice el plugin Academy LMS a la última versión disponible. La vulnerabilidad que permite la escalada de privilegios ha sido corregida en versiones posteriores a la 1.9.19. Esto evitará que usuarios no autorizados obtengan acceso de administrador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-1505 is a vulnerability allowing authenticated users with limited permissions to escalate to administrator roles within the Academy LMS WordPress plugin, impacting versions up to 1.9.19.
If you are using Academy LMS for WordPress version 1.9.19 or earlier, you are potentially affected by this privilege escalation vulnerability.
Upgrade the Academy LMS plugin to the latest available version, which includes the necessary fix to prevent unauthorized privilege escalation. Check the plugin repository for updates.
As of the current date, there are no confirmed reports of active exploitation of CVE-2024-1505, but proactive patching is still highly recommended.
Refer to the official Academy LMS plugin repository or website for the latest security advisory and update information regarding CVE-2024-1505.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.