Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin MasterStudy LMS, afectando a las versiones hasta la 3.6.15. Esta vulnerabilidad puede comprometer la seguridad del sistema si no se gestiona adecuadamente.
Fuente base de datos: Wordfence Intelligence
MasterStudy LMS <= 3.6.15 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-54744
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se debe a una falta de autorización en ciertas funcionalidades del plugin MasterStudy LMS, lo que permite a usuarios no autorizados acceder a recursos restringidos. La superficie de ataque se centra en las funciones que no implementan correctamente los controles de acceso.
Impacto potencial
El impacto potencial incluye acceso no autorizado a información sensible y la posibilidad de que un atacante manipule o elimine datos. Esto puede resultar en daños a la reputación de la organización y pérdidas económicas.
Vector de explotación
La explotación de esta vulnerabilidad suele realizarse mediante el envío de solicitudes maliciosas a las funciones afectadas, aprovechando la falta de validación de permisos.
Mitigación recomendada
Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 3.6.16 o superior. Además, se debe revisar la configuración de permisos y aplicar buenas prácticas de seguridad en la gestión de usuarios.
Señales de detección
Señales de posible explotación incluyen intentos de acceso a áreas restringidas del plugin o registros de actividad inusual por parte de usuarios no autorizados.
Alcance afectado
Las versiones del plugin MasterStudy LMS hasta la 3.6.15 están afectadas. Se debe verificar la versión instalada en todas las instalaciones que utilicen este plugin.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS WordPress Plugin – for Online Courses and Education <= 3.7.11 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'stm_lms_courses_grid_display' Shortcode
MEDIUM
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS WordPress Plugin – for Online Courses and Education <= 3.7.6 Missing Authorization to Authenticated (Subscriber+) Posts and Media Creation, Modification and Deletion
MEDIUM
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS <= 3.6.27 - Authenticated (Instructor+) SQL Injection
MEDIUM
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS <= 3.6.20 - Authenticated (Instructor+) Sensitive Information Exposure
MEDIUM
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS <= 3.6.20 - Missing Authorization
MEDIUM
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS <= 3.6.20 - Authenticated (Subscriber+) Race Condition to Multiple Reviews
HIGH
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS <= 3.5.28 - Authenticated (Contributor+) Local File Inclusion
MEDIUM
PLUGIN
masterstudy-lms-learning-management-system
MasterStudy LMS <= 3.5.28 - Missing Authorization
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto