Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el campo "State" de la página Edit profile del LMS de LifterLMS - Online Course, Membership & Learning Management System Plugin para el plugin de WordPress (CVE-2021-24308)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
24/05/2021
Última modificación:
03/06/2021

Descripción

El campo "State" de la página Edit profile del LMS de LifterLMS - Online Course, Membership & Learning Management System Plugin para el plugin de WordPress versiones anteriores a 4.21.1 no es saneado apropiadamente cuando se muestra en la sección About de la página de perfil, conllevando a un problema de tipo cross-site scripting almacenado. Esto podría permitir a usuarios pocos privilegiados (como los estudiantes) escalar sus privilegios por medio de un ataque de tipo XSS cuando un administrador visualiza su perfil

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lifterlms:lifterlms:*:*:*:*:*:wordpress:*:* 4.21.1 (excluyendo)