Creator LMS – The LMS for Creators, Coaches, and Trainers <= 1.1.12 - Missing Authorization to Authenticated (Contributor+) Arbitrary Options Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Creator LMS, que permite a usuarios autenticados con rol de contribuyente o superior realizar actualizaciones arbitrarias de opciones. Esta falla tiene una puntuación CVSS de 8.8, lo que indica un alto nivel de severidad.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para ciertas acciones dentro del plugin. Los atacantes pueden aprovechar esta debilidad para modificar configuraciones del sistema sin los permisos necesarios, afectando la integridad de la plataforma de aprendizaje.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a un atacante alterar opciones críticas del sistema, lo que podría comprometer la seguridad general del sitio y la confianza de los usuarios. Esto podría resultar en pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad accediendo al sistema con credenciales de contribuyente o superior y ejecutando solicitudes maliciosas para modificar opciones arbitrarias sin autorización.

Mitigación recomendada

Se recomienda actualizar el plugin Creator LMS a la versión 1.1.13 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar y restringir los permisos de los usuarios, así como implementar controles adicionales de seguridad.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en la configuración del plugin, registros de actividad inusuales de usuarios con rol de contribuyente y alertas de seguridad sobre accesos no autorizados.

Alcance afectado

Las versiones afectadas son todas las versiones de Creator LMS hasta la 1.1.12. La versión 1.1.13 corrige esta vulnerabilidad.