La vulnerabilidad de autorización faltante en el complemento Masteriyo LMS – eLearning and Online Course Builder para WordPress pone en riesgo la modificación no autorizada de perfiles de usuarios debido a la falta de comprobaciones de autorización en el punto final de la API REST /wp-json/masteriyo/v1/users/$id en todas las versiones hasta, e incluyendo, la 1.13.3. Esto permite a atacantes autenticados, con acceso de nivel de estudiante y superior, modificar los roles de usuarios arbitrarios. Como resultado, los atacantes pueden escalar sus privilegios a Administrador y degradar a administradores existentes a estudiantes.
La vulnerabilidad CVE-2024-10008 en el complemento Masteriyo LMS – eLearning and Online Course Builder para WordPress permite a usuarios autenticados manipular perfiles de usuario y escalas sus privilegios. Para subsanar este problema, se recomienda a los usuarios actualizar el complemento a la última versión disponible. Además, se deben revisar y limitar los roles y permisos asignados a los usuarios, especialmente a aquellos con accesos de estudiante o superior. Es importante llevar a cabo auditorías regulares de seguridad y monitorear las actividades de los usuarios para detectar posibles intentos de abuso de privilegios.
La falta de autorización adecuada en el complemento Masteriyo LMS para WordPress representa un riesgo significativo para la seguridad de los sitios web que lo utilizan. Al seguir las recomendaciones mencionadas y estar alerta a posibles actividades sospechosas, los administradores pueden mitigar el riesgo de explotación de esta vulnerabilidad y proteger la integridad de sus sitios web.