یک آسیبپذیری با شناسه CVE-2024-10008 و شدت 8.8 (بالا) در افزونه Masteriyo LMS – eLearning and Onlinehht Course Builder for کشف شده است. این امکان را برای مهاجم فراهم میکند که با دسترسی در سطح student نقش کاربران را به دلخواه تغییر دهد، و خود را به سطح دسترسی Administrator برساند. براساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و به راحتی قابل تکرار است چندان به شرایط خاصی نیز نیاز ندارد (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین میباشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند.(C:H/I:H/A:H)
محصولات تحت تأثیر
تمام نسخهها از جمله 1.13.3 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیه امنیتی
به کاربران توصیه میشود که در اسرع وقت نسخه های آسیبپذیر را به نسخه جدیدتر به روزرسانی کنند.
منابع خبر:
[1]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/learning-management-system/masteriyo-lms-elearning-and-online-course-builder-for-wordpress-1133-authenticated-student-missing-authorization-to-privilege-escalatio[2]
https://nvd.nist.gov/vuln/detail/CVE-2024-10008
- 76