CVE-2026-10824
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Wtyczka Masteriyo LMS dla WordPressa w wersjach przed 2.2.1 nie przeprowadza kontroli autoryzacji w kontrolerze API REST dotyczącego postępu kursu, co pozwala nieautoryzowanym użytkownikom na odczyt i trwałe usunięcie zapisów postępu kursu dowolnego użytkownika.
Ocena ryzyka
Brak kontroli autoryzacji stwarza ryzyko nieautoryzowanego dostępu do danych użytkowników, co może prowadzić do utraty danych i naruszenia prywatności.
Rekomendacja
Zaleca się aktualizację wtyczki Masteriyo LMS do wersji 2.2.1 lub nowszej, aby zabezpieczyć się przed tymi lukami.
Oryginalny opis (angielski, źródło NVD)
The Masteriyo LMS WordPress plugin before 2.2.1 does not perform authorization checks in a course-progress REST API controller, allowing unauthenticated users to read and permanently delete any user's course-progress records.

