平台
wordpress
组件
learning-management-system
修复版本
2.1.7
CVE-2026-4484 揭示了 Masteriyo LMS 插件中的一个权限提升漏洞。该漏洞允许具有 Student 级别访问权限的经过身份验证的攻击者提升其权限至管理员级别。受影响的版本包括 2.1.6 及以下版本。该漏洞已在 2.1.7 版本中得到修复,强烈建议用户更新。
WordPress的Masteriyo LMS插件存在特权升级漏洞。2.1.6及更早版本存在漏洞。具有学生级别访问权限的经过身份验证的攻击者可以利用此漏洞将他们的权限提升到管理员级别。这使攻击者能够完全控制网站,修改内容,安装插件,删除数据,并执行管理员可以执行的任何操作。由于对安全潜在影响和相对容易的利用性,此漏洞的严重程度为高(CVSS 8.8)。在'InstructorsController::prepareobjectfor_database'函数中缺乏适当的控制,允许这种用户角色操作,从而损害网站的完整性和数据保密性。
使用Masteriyo LMS到2.1.6版本的网站上的具有学生角色或更高权限的攻击者可以利用此漏洞。攻击者可以操纵'InstructorsController::prepareobjectfor_database'函数来更改自己的角色为管理员。这可以通过恶意代码注入或请求参数操作来实现。一旦攻击者获得管理员访问权限,他们就可以在网站上执行任何操作,包括安装恶意软件,窃取数据和修改内容。
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
CVSS 向量
建议的解决方案是立即将Masteriyo LMS插件更新到2.1.7或更高版本。此版本包含特权升级漏洞的修复程序。此外,请审核网站上的现有用户角色,以识别并撤销任何可疑权限。实施强大的密码策略并为所有用户(尤其是具有管理员角色的用户)启用双因素身份验证(2FA)可以帮助降低被利用的风险。监控网站日志中是否存在异常活动也是一种良好的安全实践。
更新到版本 2.1.7 或更新的已修补版本
漏洞分析和关键警报直接发送到您的邮箱。
这意味着具有有限权限的用户可以获得他们通常不应该拥有的功能或数据访问权限。
作为临时措施,限制具有学生角色的用户的对网站关键功能的访问。定期审核用户角色是否存在未经授权的更改。
查找网站日志中是否存在异常活动,例如可疑登录或意外的内容更改。使用安全扫描程序来查找恶意软件。
有一些WordPress漏洞扫描程序可以检测到此漏洞。您还可以手动检查插件代码中是否存在'InstructorsController::prepareobjectfor_database'函数。
您可以在CVE漏洞数据库中找到有关此漏洞的更多信息:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-4484
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。