Vulnerabilidad en LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes para WordPress (CVE-2024-12596)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/12/2024
Última modificación:
18/12/2024
Descripción
El complemento LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes para WordPress es vulnerable a la eliminación arbitraria de publicaciones debido a una falta de verificación de capacidad en la acción 'llms_delete_cert' en todas las versiones hasta la 7.8.5 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, eliminen publicaciones arbitrarias.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset/3208662/lifterlms/trunk/includes/abstracts/llms-abstract-controller-user-engagements.php
- https://plugins.trac.wordpress.org/changeset/3208662/lifterlms/trunk/includes/controllers/class.llms.controller.certificates.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/8e75a03b-7552-4228-a4d0-13c78d20f6d5?source=cve