LearnPress <= 4.3.2.8 - Missing Authorization to Unauthenticated Arbitrary Quiz Answer Deletion

Resumen ejecutivo

La extensión LearnPress presenta una vulnerabilidad crítica que permite a usuarios no autenticados eliminar respuestas de quizzes arbitrariamente. Esta brecha de seguridad puede comprometer la integridad de los datos y la confianza de los usuarios en la plataforma educativa.

Contexto técnico

La vulnerabilidad se encuentra en LearnPress versiones hasta la 4.3.2.8, donde no se requiere autenticación para realizar eliminaciones de respuestas a quizzes. Esto permite que cualquier persona con acceso a la interfaz pueda ejecutar acciones no autorizadas.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que la eliminación de respuestas puede afectar la experiencia del usuario y la funcionalidad del sistema de aprendizaje. Además, esta vulnerabilidad puede resultar en pérdida de datos y daño a la reputación de la plataforma.

Vector de explotación

La explotación se realiza mediante el envío de solicitudes HTTP maliciosas a la API de LearnPress, permitiendo la eliminación de respuestas sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar LearnPress a la versión 4.3.3 o superior para cerrar la vulnerabilidad. Revisar los permisos de usuario y las configuraciones de acceso a la API. Implementar medidas de seguridad adicionales como la autenticación de dos factores para los administradores.

Señales de detección

Monitorear los logs de acceso en busca de solicitudes inusuales que intenten eliminar respuestas a quizzes, así como cambios no autorizados en la base de datos relacionados con quizzes.

Alcance afectado

Las versiones de LearnPress hasta la 4.3.2.8 están afectadas. No se han confirmado casos de explotación en versiones posteriores a la 4.3.3.