Platform
wordpress
Component
learning-management-system
Opgelost in
2.1.7
CVE-2026-4484 is een Privilege Escalatie kwetsbaarheid in de Masteriyo LMS plugin voor WordPress. Deze kwetsbaarheid maakt het mogelijk voor een geauthenticeerde aanvaller met Student-level toegang of hoger, om hun privileges te verhogen tot administrator niveau. Dit is mogelijk door een fout in de 'InstructorsController::prepareobjectfor_database' functie. De kwetsbaarheid treft alle versies tot en met 2.1.6. Een fix is beschikbaar in versie 2.1.7.
De Masteriyo LMS plugin voor WordPress heeft een privilege escalatie kwetsbaarheid. Versies tot en met 2.1.6 zijn kwetsbaar. Een geauthenticeerde aanvaller met Student-level toegang of hoger kan deze fout uitbuiten om zijn privileges te verhogen tot die van een administrator. Dit stelt de aanvaller in staat om de website volledig te controleren, inhoud te wijzigen, plugins te installeren, gegevens te verwijderen en elke actie uit te voeren die een administrator kan uitvoeren. De ernst van de kwetsbaarheid is hoog (CVSS 8.8) vanwege de potentiële impact op de beveiliging en het relatieve gemak van uitbuiting. Het ontbreken van de juiste controles binnen de functie 'InstructorsController::prepareobjectfor_database' maakt deze gebruikersrollenmanipulatie mogelijk, waardoor de integriteit van de website en de vertrouwelijkheid van de gegevens in gevaar komt.
Een aanvaller met een Student rol of hoger op een website die Masteriyo LMS gebruikt tot versie 2.1.6 kan deze kwetsbaarheid uitbuiten. De aanvaller zou de functie 'InstructorsController::prepareobjectfor_database' kunnen manipuleren om zijn eigen rol te wijzigen in Administrator. Dit zou kunnen worden bereikt door middel van kwaadaardige code injectie of het manipuleren van request parameters. Zodra de aanvaller administrator toegang heeft, kan hij elke actie op de website uitvoeren, inclusief het installeren van malware, het stelen van gegevens en het wijzigen van inhoud.
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om de Masteriyo LMS plugin onmiddellijk te updaten naar versie 2.1.7 of hoger. Deze versie bevat een fix voor de privilege escalatie kwetsbaarheid. Controleer bovendien de bestaande gebruikersrollen op de website om verdachte privileges te identificeren en te intrekken. Het implementeren van een robuust wachtwoordbeleid en het inschakelen van tweefactorauthenticatie (2FA) voor alle gebruikers, met name die met administratorrechten, kan helpen om het risico op uitbuiting te verminderen. Het monitoren van de website logs op ongebruikelijke activiteiten is ook een goede beveiligingspraktijk.
Update naar versie 2.1.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het betekent dat een gebruiker met beperkte permissies toegang kan krijgen tot functies of gegevens waar ze normaal gesproken geen toegang toe zouden hebben.
Als tijdelijke maatregel, beperk de toegang van gebruikers met Student rollen tot kritieke website functies. Controleer regelmatig de gebruikersrollen op ongeautoriseerde wijzigingen.
Zoek naar ongebruikelijke activiteiten in de website logs, zoals verdachte logins of onverwachte inhouds wijzigingen. Gebruik een beveiligingsscanner om te zoeken naar malware.
Er zijn WordPress kwetsbaarheid scanners die deze kwetsbaarheid kunnen detecteren. U kunt ook de plugin code handmatig controleren op de functie 'InstructorsController::prepareobjectfor_database'.
U kunt meer informatie over deze kwetsbaarheid vinden in de CVE kwetsbaarheid database: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-4484
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.