کشف آسیب‌پذیری در Masteriyo LMS – eLearning and Online Course Builder for WordPress

یک آسیب‌پذیری با شناسه  CVE-2024-10008 و شدت 8.8 (بالا) در افزونه  Masteriyo LMS – eLearning and Onlinehht Course Builder for  کشف شده است. این امکان را برای مهاجم فراهم می‌کند که با دسترسی در سطح student نقش کاربران را به دلخواه تغییر دهد، و خود را به سطح دسترسی Administrator برساند. براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و به ‌راحتی قابل تکرار است چندان به شرایط خاصی نیز نیاز ندارد (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می‌باشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند.(C:H/I:H/A:H)
 

محصولات تحت تأثیر

تمام نسخه‌ها از جمله 1.13.3 تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند. 

توصیه امنیتی

به کاربران توصیه می‌شود که در اسرع وقت نسخه های آسیب‌پذیر را به نسخه جدیدتر به روزرسانی کنند.
 

منابع خبر:

[1] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/learning-management-system/masteriyo-lms-elearning-and-online-course-builder-for-wordpress-1133-authenticated-student-missing-authorization-to-privilege-escalation

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-10008