CVE-2024-2411

Plugin MasterStudy LMS para o WordPress, versões até a 3.3.0, inclusive

A vulnerabilidade permite que invasores não autenticados incluam e executem arquivos arbitrários no servidor por meio do parâmetro modal. Isso possibilita a execução de qualquer código PHP nesses arquivos, o que pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Para o plugin MasterStudy LMS para versões do WordPress até a 3.3.0, inclusive, considere desativar o parâmetro modal até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de inclusão arbitrária de arquivos. Evite usar o parâmetro modal em pontos de extremidade da API até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.