CVE-2026-4817

Name of the Vulnerable Software and Affected Versions MasterStudy LMS WordPress Plugin for Online Courses and Education versões anteriores a 3.7.26

Description Existe um problema onde atacantes autenticados com nível de acesso de assinante ou superior podem realizar injeção de SQL cega baseada em tempo. Isso ocorre por meio dos parâmetros 'order' e 'orderby' no endpoint da API REST '/lms/stm-lms/order/items'. A falha decorre de sanitização insuficiente de entrada e um erro de design na classe customizada Query builder que permite a injeção de SQL não cotada em cláusulas ORDER BY. Especificamente, quando o Query builder detecta parênteses no parâmetro sort by, ele trata o valor como uma função SQL e o concatena diretamente na cláusula ORDER BY sem aspas. Embora o esc sql() seja utilizado, ele não consegue evitar a injeção quando os valores não estão envolvidos por aspas. Isso permite a extração de informações sensíveis do banco de dados, como credenciais de usuário e tokens de sessão.

Recommendations Atualize para uma versão posterior a 3.7.25. Como medida paliativa temporária, restrinja o acesso ao endpoint da API REST '/lms/stm-lms/order/items' ou limite o uso dos parâmetros order e orderby.