Se ha identificado una vulnerabilidad de Privilege Escalation en el plugin MasterStudy LMS para WordPress en todas las versiones hasta, e incluyendo, la 3.3.1. Esto se debe a la falta de validación suficiente en la función _register_user() llamada por la acción AJAX ‘wp_ajax_nopriv_stm_lms_register’. Esto permite que atacantes no autenticados registren un usuario con privilegios a nivel de administrador cuando se instala MasterStudy LMS Pro y se habilita el complemento LMS Forms Editor.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin MasterStudy LMS a la última versión disponible de forma inmediata. Asimismo, se sugiere deshabilitar temporalmente el complemento LMS Forms Editor hasta que se haya aplicado la actualización de seguridad. Es importante estar atento a futuras actualizaciones por parte del desarrollador para garantizar la protección continua del sitio web.
La escalada de privilegios no autenticada en MasterStudy LMS puede representar un riesgo significativo para la seguridad de un sitio web basado en WordPress. Al tomar medidas proactivas, como actualizar el plugin y tomar precauciones con complementos vulnerables, los usuarios pueden mitigar este tipo de amenazas y mantener la integridad de su plataforma en línea.