Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WP Courses LMS – Online Courses Builder, eLearning Courses, Courses Solution, Education Courses para WordPress (CVE-2024-12172)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/12/2024
Última modificación:
12/12/2024

Descripción

El complemento WP Courses LMS – Online Courses Builder, eLearning Courses, Courses Solution, Education Courses para WordPress es vulnerable al acceso no autorizado debido a una verificación de capacidad faltante en la función wpc_update_user_meta_option() en todas las versiones hasta la 3.2.21 incluida . Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen metadatos arbitrarios de usuarios que pueden aprovecharse para impedir que un administrador acceda a su sitio cuando wp_capabilities está configurado en 0.