平台
wordpress
组件
academy
修复版本
1.9.20
CVE-2024-1505 是 Academy LMS – eLearning 和在线课程解决方案 WordPress 插件中的权限提升漏洞。该漏洞允许具有最小权限的经过身份验证的攻击者,例如学生,提升其用户角色至管理员。该漏洞影响所有版本,包括 1.9.19 及更早版本。建议用户尽快升级到修复版本以减轻风险。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞绕过正常的访问控制机制,获得对 WordPress 网站的完全控制权。他们可以修改网站内容、安装恶意软件、窃取敏感数据,甚至完全控制整个服务器。由于 Academy LMS 插件通常用于托管在线课程和学习材料,因此攻击者还可以访问和泄露学生的个人信息和学习进度。攻击者可以利用此漏洞进行数据泄露、网站篡改和进一步的攻击。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。建议关注 WordPress 安全社区的最新动态,以获取有关此漏洞的更多信息。
WordPress sites utilizing the Academy LMS plugin, particularly those with student accounts or other low-privilege users, are at risk. Shared hosting environments where multiple WordPress installations share resources are also at increased risk, as a compromise of one site could potentially be leveraged to exploit this vulnerability on others.
• wordpress / composer / npm:
grep -r 'saved_user_info()' /var/www/html/wp-content/plugins/academy-lms/*• wordpress / composer / npm:
wp plugin list --status=all | grep academy-lms• wordpress / composer / npm:
wp plugin update academy-lms --alldisclosure
漏洞利用状态
EPSS
0.18% (39% 百分位)
CVSS 向量
最有效的缓解措施是立即将 Academy LMS 插件升级到修复版本。如果无法立即升级,可以考虑采取以下临时缓解措施:限制用户角色的权限,避免授予学生不必要的权限;监控用户活动,及时发现异常行为;使用 WordPress 安全插件,增强网站的整体安全性。此外,可以考虑使用 Web 应用防火墙 (WAF) 来阻止恶意请求。升级后,请确认漏洞已修复,可以通过检查用户角色权限和尝试以低权限用户执行管理员操作来验证。
Actualice el plugin Academy LMS a la última versión disponible. La vulnerabilidad que permite la escalada de privilegios ha sido corregida en versiones posteriores a la 1.9.19. Esto evitará que usuarios no autorizados obtengan acceso de administrador.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-1505 是 Academy LMS WordPress 插件中的一个权限提升漏洞,允许攻击者提升其用户角色至管理员,从而获得对网站的完全控制权。
如果您正在使用 Academy LMS WordPress 插件,并且版本低于或等于 1.9.19,那么您可能受到此漏洞的影响。
最有效的修复方法是立即将 Academy LMS 插件升级到修复版本。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 Academy LMS 官方网站或 WordPress 插件目录,以获取有关此漏洞的更多信息和官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。