Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Sensei LMS – Online Courses, Quizzes, & Learning <= 4.19.2 - Authenticated (Teacher+) User Email Disclosure

PLUGIN MEDIUM CVE-2024-8009

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

La vulnerabilidad identificada en el plugin Sensei LMS permite la divulgación de correos electrónicos de usuarios autenticados con rol de profesor o superior. Esta falla afecta a las versiones hasta la 4.19.2 y ha sido corregida en la versión 4.20.0.

Contexto técnico

El fallo se produce debido a una gestión inadecuada de la información de los usuarios, lo que permite que los correos electrónicos de los docentes sean accesibles sin la debida autorización. La superficie de ataque se centra en usuarios autenticados que pueden acceder a información sensible.

Impacto potencial

La divulgación de correos electrónicos puede resultar en ataques de phishing dirigidos y comprometer la privacidad de los usuarios. Esto podría dañar la reputación de la plataforma y afectar la confianza de los usuarios en la gestión de sus datos personales.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo por usuarios autenticados con privilegios de profesor, quienes podrían acceder a información que no deberían ver, como los correos electrónicos de otros docentes.

Mitigación recomendada

Actualizar el plugin Sensei LMS a la versión 4.20.0 o superior. Además, se recomienda revisar los permisos de usuario y realizar auditorías de seguridad periódicas para asegurar que no existan otras configuraciones inseguras.

Señales de detección

Señales de posible explotación incluyen accesos inusuales a la gestión de usuarios por parte de cuentas con rol de profesor, así como quejas de usuarios sobre la recepción de correos no solicitados.

Alcance afectado

Las versiones del plugin Sensei LMS desde la 4.0 hasta la 4.19.2 están afectadas por esta vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

sensei-lms

Sensei LMS <= 4.24.4 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

sensei-lms

Sensei LMS – Online Courses, Quizzes, & Learning <= 4.24.3 - Unauthenticated Information Exposure

Ver ficha
MEDIUM PLUGIN

sensei-lms

Sensei LMS – Online Courses, Quizzes, & Learning <= 4.24.1 - Unauthenticated Email Template Disclosure

Ver ficha
MEDIUM PLUGIN

sensei-lms

Sensei LMS <= 4.23.1 & Sensei Pro (WC Paid Courses) <= 4.24.0.1.24.0 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

sensei-lms

Sensei LMS <= 4.17.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

sensei-lms

Sensei LMS <= 4.5.1 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

sensei-lms

Sensei LMS <= 4.4.3 - Information Disclosure

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad