Fuente base de datos: Wordfence Intelligence

Academy LMS <= 1.9.16 - Missing Authorization

PLUGIN MEDIUM CVE-2024-32714

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Academy LMS, que afecta a las versiones anteriores a la 1.9.17. Esta falla puede permitir a usuarios no autorizados acceder a funcionalidades restringidas del sistema.

Contexto técnico

La vulnerabilidad se origina por la falta de controles adecuados de autorización en ciertas funciones del plugin. Esto permite que un atacante pueda eludir las restricciones de acceso, comprometiendo la seguridad de la aplicación y su contenido.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, ya que permite el acceso no autorizado a áreas del sistema que deberían estar protegidas. Esto podría resultar en la exposición de datos sensibles o en la manipulación de la configuración del sistema, afectando la integridad y la disponibilidad del servicio.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante el envío de solicitudes maliciosas a las funciones del plugin que carecen de la validación adecuada de permisos, permitiendo así el acceso no autorizado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Academy LMS a la versión 1.9.17 o superior. Además, se sugiere revisar las configuraciones de acceso y aplicar buenas prácticas de seguridad en la gestión de usuarios.

Señales de detección

Las señales de posible explotación incluyen intentos inusuales de acceso a funciones administrativas por usuarios no autorizados, así como registros de actividad sospechosa en el sistema.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.9.17 del plugin Academy LMS.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

academy

Academy LMS <= 3.5.3 - Missing Authorization

CRITICAL PLUGIN

academy

Academy LMS – WordPress LMS Plugin for Complete eLearning Solution <= 3.5.0 - Unauthenticated Privilege Escalation via Account Takeover

MEDIUM PLUGIN

academy

Academy LMS <= 3.4.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

HIGH PLUGIN

academy

Academy LMS – WordPress LMS Plugin for Complete eLearning Solution <= 3.3.8 - Authenticated (Administrator+) PHP Object Injection via 'import_all_courses'

MEDIUM PLUGIN

academy

Academy LMS <= 3.3.4 - Authenticated (Academy Instructor+) Insecure Direct Object Reference

LOW PLUGIN

academy

Academy LMS <= 2.0.4 - Missing Authorization

HIGH PLUGIN

academy

Academy LMS <= 2.0.10 - Open Redirect

MEDIUM PLUGIN

academy

Academy LMS <= 1.9.25 - Unauthenticated Sensitive Information Exposure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto