El complemento Tutor LMS Elementor Addons para WordPress es vulnerable a la instalación no autorizada de plugins debido a la falta de comprobación de capacidad en la función install_etlms_dependency_plugin() en todas las versiones hasta, e incluyendo, la 2.1.5. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, instalar Elementor o Tutor LMS. Es importante tener en cuenta que el impacto de este problema es increíblemente limitado debido a que es probable que estos dos plugins ya estén instalados como dependencia del complemento.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del complemento Tutor LMS Elementor Addons para protegerse contra posibles ataques. Además, se recomienda restringir el acceso de los usuarios con roles de Suscriptor y superior para reducir el riesgo de explotación de esta vulnerabilidad. Si ya se han instalado Elementor o Tutor LMS como dependencia, se debe realizar una revisión de seguridad exhaustiva para garantizar que no se hayan realizado cambios maliciosos.
Es crucial abordar esta vulnerabilidad de falta de autorización en el complemento Tutor LMS Elementor Addons para evitar posibles instalaciones no autorizadas de plugins. Al tomar medidas proactivas, los usuarios pueden mitigar el riesgo de compromiso de seguridad en sus sitios de WordPress.