Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en MasterStudy LMS de WordPres (CVE-2024-2411)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/03/2024
Última modificación:
13/02/2025

Descripción

El complemento MasterStudy LMS para WordPress es vulnerable a Local File Inclusion (LFI) en todas las versiones hasta la 3.3.0 incluida a través del parámetro 'modal'. Esto hace posible que atacantes no autenticados incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en los casos en que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:stylemixthemes:masterstudy_lms:*:*:*:*:*:wordpress:*:* 3.3.1 (excluyendo)