La vulnerabilidad CVE-2024-10000, que afecta al plugin Masteriyo LMS – eLearning and Online Course Builder para WordPress, permite a atacantes autenticados con acceso de nivel estudiante y superior inyectar scripts web arbitrarios en las páginas del sitio.
El plugin Masteriyo LMS – eLearning and Online Course Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro de contenido de la pregunta en todas las versiones hasta, e incluyendo, la 1.13.3 debido a una sanitización insuficiente de la entrada y un escape inadecuado de la salida. Esto permite a los atacantes autenticados inyectar scripts web arbitrarios en las páginas que se ejecutarán siempre que un usuario acceda a una página infectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Masteriyo LMS a la última versión disponible y estar atentos a los comunicados de seguridad para proteger sus sitios WordPress de posibles ataques de Cross-Site Scripting almacenado.