Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WP向けeラーニングプラグイン「MasterStudy LMS」に脆弱性

コンテンツマネジメントシステム(CMS)の「WordPress」においてeラーニングシステムを構築できるプラグイン「MasterStudy LMS」に脆弱性が明らかとなった。アップデートにて修正されている。

バージョンによって影響が異なるが、2件の脆弱性が明らかとなったもの。「同3.3.0」および以前のバージョンでは、リモートより認証なしにファイルを挿入し、PHPコードを実行できる脆弱性「CVE-2024-2411」が判明した。

さらに「同3.3.1」および以前のバージョンでは、ユーザー登録フォームの処理に問題があり、特定環境下において認証なしに管理者レベルの権限を持つユーザーを登録することが可能となる「CVE-2024-2409」が明らかとなっている。

DefiantのWordfenceは、いずれの脆弱性も共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。

開発者は、現地時間3月27日に修正版となる「同3.3.2」を公開。4月1日には最新版となる「同3.3.3」をリリースしている。

(Security NEXT - 2024/04/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

Oracle、「Java SE」に関する脆弱性13件を修正
Oracle、四半期定例パッチを公開 - のべ441件の脆弱性に対応
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
メール誤送信で横断幕掲示応募者のメアド流出 - 飯塚オートレース場
WordPress向けプラグイン「InstaWP Connect」に脆弱性
Windows環境下の複数開発言語に脆弱性「BatBadBut」が判明
LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分
「Microsoft Edge」にアップデート - 「Chromium」の脆弱性修正を反映
小学校で保護者や教職員の口座番号含むUSBメモリを紛失 - 東村山市
従業員メルアカに不正アクセス、スパム踏み台に - 組込機器メーカー