Masteriyo LMS – LMS Course Builder, Quizzes & Certificates <= 2.2.0 - Authenticated (Subscriber+) Privilege Escalation en Learning Management System (escalada de privilegios) - version 2.2.1

Resumen ejecutivo

Se ha identificado una vulnerabilidad de escalación de privilegios en el plugin Masteriyo LMS, que afecta a las versiones hasta la 2.2.0. Esta falla permite a usuarios autenticados con rol de suscriptor elevar sus privilegios, lo que puede comprometer la seguridad del sitio.

Contexto técnico

El fallo se encuentra en el plugin Masteriyo LMS, utilizado para la gestión de cursos y certificados. La vulnerabilidad permite que usuarios autenticados (con rol de suscriptor o superior) accedan a funciones que deberían estar restringidas, facilitando una escalación de privilegios.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a atacantes obtener acceso no autorizado a funcionalidades críticas, lo que podría resultar en la manipulación de contenido o datos sensibles. Esto afecta la integridad del sistema y la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante el envío de solicitudes específicamente manipuladas que aprovechan la falta de controles adecuados de permisos en el plugin.

Mitigación recomendada

Actualizar el plugin Masteriyo LMS a la versión 2.2.1 o superior. Revisar y ajustar los permisos de usuario para roles de suscriptor. Realizar auditorías de seguridad periódicas para identificar accesos no autorizados.

Señales de detección

Monitorear logs de acceso en busca de actividades inusuales por parte de usuarios con rol de suscriptor, así como cambios no autorizados en configuraciones o contenido.

Alcance afectado

Las versiones afectadas son todas las versiones de Masteriyo LMS hasta la 2.2.0. No se han confirmado casos en versiones posteriores a la 2.2.1.