{"id":2917,"date":"2024-02-16T20:45:21","date_gmt":"2024-02-16T20:45:21","guid":{"rendered":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/"},"modified":"2024-02-16T20:45:21","modified_gmt":"2024-02-16T20:45:21","slug":"masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/","title":{"rendered":"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada"},"content":{"rendered":"<div>En este art\u00edculo hablaremos sobre una vulnerabilidad de seguridad en el plugin MasterStudy LMS para WordPress que permite la inyecci\u00f3n de SQL no autenticada. Esta vulnerabilidad podr\u00eda ser aprovechada por atacantes no autenticados para extraer informaci\u00f3n sensible de la base de datos.<\/div>\n<p><\/p>\n<div>El plugin MasterStudy LMS WordPress Plugin \u2013 for Online Courses and Education, en todas las versiones hasta la 3.2.5, es vulnerable a una inyecci\u00f3n de SQL basada en uniones a trav\u00e9s del par\u00e1metro &#8216;user&#8217; de la ruta REST \/lms\/stm-lms\/order\/items. Esto se debe a la falta de escapado adecuado en el par\u00e1metro proporcionado por el usuario y a la falta de preparaci\u00f3n suficiente en la consulta SQL existente. Los atacantes no autenticados pueden agregar consultas SQL adicionales a las consultas existentes para extraer informaci\u00f3n sensible de la base de datos.<\/div>\n<div>Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin MasterStudy LMS a la \u00faltima versi\u00f3n disponible, la cual ha sido corregida para evitar la inyecci\u00f3n de SQL no autenticada. Adem\u00e1s, se recomienda la implementaci\u00f3n de buenas pr\u00e1cticas de seguridad, como por ejemplo, limitar el acceso al panel de administraci\u00f3n de WordPress solo a usuarios autorizados y mantener actualizado tanto el sistema operativo del servidor como el propio WordPress y sus plugins.<\/div>\n","protected":false},"excerpt":{"rendered":"<p>En este art\u00edculo hablaremos sobre una vulnerabilidad de seguridad en el plugin MasterStudy LMS para WordPress que permite la inyecci\u00f3n de SQL no autenticada. Esta vulnerabilidad podr\u00eda ser aprovechada por atacantes no autenticados para extraer informaci\u00f3n sensible de la base de datos. El plugin MasterStudy LMS WordPress Plugin \u2013 for Online Courses and Education, en [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[630],"class_list":["post-2917","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-1512"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.8 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"En este art\u00edculo hablaremos sobre una vulnerabilidad de seguridad en el plugin MasterStudy LMS para WordPress que permite la inyecci\u00f3n de SQL no autenticada. Esta vulnerabilidad podr\u00eda ser aprovechada por atacantes no autenticados para extraer informaci\u00f3n sensible de la base de datos. El plugin MasterStudy LMS WordPress Plugin \u2013 for Online Courses and Education, en [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-02-16T20:45:21+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/\",\"url\":\"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/\",\"name\":\"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-02-16T20:45:21+00:00\",\"dateModified\":\"2024-02-16T20:45:21+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/","og_locale":"en_US","og_type":"article","og_title":"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada - SeguridadWordPress.es","og_description":"En este art\u00edculo hablaremos sobre una vulnerabilidad de seguridad en el plugin MasterStudy LMS para WordPress que permite la inyecci\u00f3n de SQL no autenticada. Esta vulnerabilidad podr\u00eda ser aprovechada por atacantes no autenticados para extraer informaci\u00f3n sensible de la base de datos. El plugin MasterStudy LMS WordPress Plugin \u2013 for Online Courses and Education, en [&hellip;]","og_url":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-02-16T20:45:21+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/","url":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/","name":"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-02-16T20:45:21+00:00","dateModified":"2024-02-16T20:45:21+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/masterstudy-lms-plugin-de-wordpress-inyeccion-de-sql-no-autenticada\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"MasterStudy LMS Plugin de WordPress: Inyecci\u00f3n de SQL no autenticada"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2917"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2917"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2917\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2917"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}