CVE-2024-10008

Masteriyo LMS – plugin de e-learning e criador de cursos online para WordPress, para versões do WordPress até a 1.13.3, inclusive

O problema está relacionado à ausência de verificações de autorização no endpoint da API REST “/wp-json/masteriyo/v1/users/$id”. Isso permite que invasores autenticados com acesso de nível de aluno ou superior modifiquem as funções de usuários arbitrários, potencialmente elevando seus privilégios para Administrador e rebaixando administradores existentes para alunos.

Para versões até a 1.13.3, inclusive, atualize para uma versão superior à 1.13.3 para resolver o problema.

Como solução temporária, considere restringir o acesso ao endpoint da API “/wp-json/masteriyo/v1/users/$id” até que um patch esteja disponível.

Restrinja o acesso ao endpoint users para minimizar o risco de exploração.

Evite usar a variável id no endpoint da API afetado até que o problema seja resolvido.