{"id":3364,"date":"2024-03-28T20:45:09","date_gmt":"2024-03-28T20:45:09","guid":{"rendered":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/"},"modified":"2024-03-28T20:45:09","modified_gmt":"2024-03-28T20:45:09","slug":"vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/","title":{"rendered":"Vulnerabilidad en MasterStudy LMS <= 3.3.0 – Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal"},"content":{"rendered":"
La vulnerabilidad en el plugin MasterStudy LMS para WordPress hasta la versi\u00f3n 3.3.0 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor a trav\u00e9s del par\u00e1metro ‘modal’. Esto puede dar lugar a la ejecuci\u00f3n de c\u00f3digo PHP malicioso, eludir controles de acceso, obtener datos sensibles y comprometer la seguridad del sitio.<\/div>\n

<\/p>\n

La inclusi\u00f3n de archivos locales no autenticada, tambi\u00e9n conocida como ‘PHP Remote File Inclusion’, es un problema com\u00fan en aplicaciones web que permite a los atacantes ejecutar c\u00f3digo arbitrario en el servidor. En el caso de MasterStudy LMS, la vulnerabilidad radica en la falta de control adecuado del nombre de archivo para las declaraciones ‘include’ y ‘require’ en el c\u00f3digo PHP. Los atacantes pueden aprovechar el par\u00e1metro ‘modal’ para cargar archivos maliciosos y ejecutarlos en el servidor, lo que les otorga un control total sobre el sitio comprometido.<\/div>\n
Para mitigar esta vulnerabilidad, se recomienda a los usuarios de MasterStudy LMS actualizar a la \u00faltima versi\u00f3n disponible lo antes posible. Adem\u00e1s, se deben implementar medidas de seguridad adicionales, como filtrar y validar adecuadamente las entradas de los usuarios, restringir el acceso a archivos sensibles y monitorizar de cerca cualquier actividad sospechosa en el sitio.<\/div>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad en el plugin MasterStudy LMS para WordPress hasta la versi\u00f3n 3.3.0 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor a trav\u00e9s del par\u00e1metro ‘modal’. Esto puede dar lugar a la ejecuci\u00f3n de c\u00f3digo PHP malicioso, eludir controles de acceso, obtener datos sensibles y comprometer la seguridad del sitio. […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[1075],"class_list":["post-3364","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-2411"],"yoast_head":"\nVulnerabilidad en MasterStudy LMS <= 3.3.0 - Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Vulnerabilidad en MasterStudy LMS <= 3.3.0 - Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilidad en el plugin MasterStudy LMS para WordPress hasta la versi\u00f3n 3.3.0 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor a trav\u00e9s del par\u00e1metro ‘modal’. Esto puede dar lugar a la ejecuci\u00f3n de c\u00f3digo PHP malicioso, eludir controles de acceso, obtener datos sensibles y comprometer la seguridad del sitio. […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-03-28T20:45:09+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/\",\"url\":\"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/\",\"name\":\"Vulnerabilidad en MasterStudy LMS <= 3.3.0 - Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-03-28T20:45:09+00:00\",\"dateModified\":\"2024-03-28T20:45:09+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Vulnerabilidad en MasterStudy LMS <= 3.3.0 – Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Vulnerabilidad en MasterStudy LMS <= 3.3.0 - Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/","og_locale":"en_US","og_type":"article","og_title":"Vulnerabilidad en MasterStudy LMS <= 3.3.0 - Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal - SeguridadWordPress.es","og_description":"La vulnerabilidad en el plugin MasterStudy LMS para WordPress hasta la versi\u00f3n 3.3.0 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor a trav\u00e9s del par\u00e1metro ‘modal’. Esto puede dar lugar a la ejecuci\u00f3n de c\u00f3digo PHP malicioso, eludir controles de acceso, obtener datos sensibles y comprometer la seguridad del sitio. […]","og_url":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-03-28T20:45:09+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/","url":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/","name":"Vulnerabilidad en MasterStudy LMS <= 3.3.0 - Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-03-28T20:45:09+00:00","dateModified":"2024-03-28T20:45:09+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/vulnerabilidad-en-masterstudy-lms-3-3-0-inclusion-de-archivos-locales-no-autenticada-a-traves-de-modal\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Vulnerabilidad en MasterStudy LMS <= 3.3.0 – Inclusi\u00f3n de Archivos Locales no Autenticada a trav\u00e9s de modal"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3364"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=3364"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3364\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=3364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=3364"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=3364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}