WP向けeラーニングプラグイン「MasterStudy LMS」に脆弱性

コンテンツマネジメントシステム（CMS）の「WordPress」においてeラーニングシステムを構築できるプラグイン「MasterStudy LMS」に脆弱性が明らかとなった。アップデートにて修正されている。

バージョンによって影響が異なるが、2件の脆弱性が明らかとなったもの。「同3.3.0」および以前のバージョンでは、リモートより認証なしにファイルを挿入し、PHPコードを実行できる脆弱性「CVE-2024-2411」が判明した。

さらに「同3.3.1」および以前のバージョンでは、ユーザー登録フォームの処理に問題があり、特定環境下において認証なしに管理者レベルの権限を持つユーザーを登録することが可能となる「CVE-2024-2409」が明らかとなっている。

DefiantのWordfenceは、いずれの脆弱性も共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

開発者は、現地時間3月27日に修正版となる「同3.3.2」を公開。4月1日には最新版となる「同3.3.3」をリリースしている。

（Security NEXT - 2024/04/02 ） ツイート

PR

関連記事

JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を
ウェブアプリフレームワーク「Django」に複数脆弱性 - アップデートが公開
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
アスクル、ウェブ経由の注文を再開
米セキュリティ機関、「ScadaBR」既知脆弱性の悪用に警告
「セキュキャンコネクト」開催 - 分野を超えた専門性を備えた人材を育成
公共用地境界確定に関連する公文書が所在不明 - 和歌山県
メアド不備で5カ月にわたり個人情報を誤送信 - スポーツクラブNAS
「ローチケ」装うフィッシング攻撃 - 当選通知など偽装
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害