Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

MasterStudy LMS WordPress Plugin – for Online Courses and Education <= 3.7.11 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'stm_lms_courses_grid_display' Shortcode

PLUGIN MEDIUM CVE-2026-0559

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin MasterStudy LMS para WordPress, afectando a versiones hasta la 3.7.11. Este fallo permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

El fallo se encuentra en el shortcode 'stm_lms_courses_grid_display' del plugin, donde no se valida adecuadamente la entrada del usuario. Esto permite que se almacenen scripts en la base de datos y se ejecuten en el navegador de otros usuarios que accedan a las páginas afectadas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la plataforma, permitiendo ataques de phishing o la ejecución de scripts maliciosos que afecten a los usuarios. Esto podría resultar en la pérdida de confianza de los usuarios y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad al inyectar código JavaScript malicioso a través del shortcode mencionado, lo que puede ser ejecutado por otros usuarios que visualicen el contenido afectado.

Mitigación recomendada

Actualizar el plugin MasterStudy LMS a la versión 3.7.12 o superior. Además, se recomienda revisar los permisos de los roles de usuario y aplicar medidas de validación de entrada en otros shortcodes utilizados.

Señales de detección

Señales de posible explotación incluyen la detección de scripts inusuales en las páginas generadas por el plugin o reportes de comportamientos extraños por parte de los usuarios.

Alcance afectado

Las versiones del plugin MasterStudy LMS hasta la 3.7.11 están afectadas. Es crucial verificar la versión instalada en cada sitio que utilice este plugin.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

masterstudy-lms-learning-management-system

Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

Ver ficha
MEDIUM PLUGIN

masterstudy-lms-learning-management-system

MasterStudy LMS <= 3.0.8 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad