# CVE-2026-4484 - Masteriyo LMS: Escalada de Privilégios para Administrador (WordPress) > [!high] CVSS 9.8 - Escalada de privilégios de Estudante para Administrador WordPress no plugin Masteriyo LMS (versões até 2.1.6). Sem verificação de autorização na função InstructorsController. Patch disponível na versão 2.1.7 desde 25 de março de 2026. ## Visão Geral O **CVE-2026-4484** é uma vulnerabilidade crítica de escalada de privilégios no plugin **Masteriyo LMS** para WordPress, afetando todas as versões até e incluindo a 2.1.6. A falha reside na ausência de verificação de autorização na função `InstructorsController::prepare_object_for_database`, permitindo que qualquer usuário autenticado com papel mínimo de Estudante eleve seus próprios privilégios ao nível de Administrador WordPress. O Wordfence divulgou a vulnerabilidade em 25 de março de 2026 e a versão corrigida 2.1.7 foi lançada no mesmo dia. O WordPress é a plataforma de CMS mais utilizada no Brasil, e plugins LMS como o Masteriyo são comuns em portais de educação corporativa e cursos online. O vetor de exploração é especialmente amplo: contas de Estudante são frequentemente criadas por usuários externos não verificados, sem barreiras adicionais. Um atacante com conta de Estudante pode escalar para Administrador, instalar plugins maliciosos, fazer upload de webshells e obter execução de código no servidor. Atualizar para v2.1.7 é a ação corretiva prioritária; organizações também devem auditar contas de Administrador por entradas suspeitas criadas antes da atualização. **CVE-2026-4484** é uma vulnerabilidade crítica de escalada de privilégios no plugin **Masteriyo LMS** para [[WordPress]], afetando todas as versões até e incluindo a 2.1.6. A falha reside na ausência de verificação de autorização na função `InstructorsController::prepare_object_for_database`, permitindo que usuários autenticados com nível mínimo de acesso (Estudante) elevem seus privilégios para **Administrador**. A vulnerabilidade foi divulgada públicamente em 25 de março de 2026 e corrigida na versão 2.1.7. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - CISA KEV: não listado - monitorar em caso de exploit público - Exploit público: não confirmado até a data desta nota ## Resumo ```mermaid graph TB A["🔍 CVE-2026-4484 · CVSS 9.8<br/>Masteriyo LMS - Privesc Admin"] --> B["🎯 Registrar como Estudante<br/>Criar conta mínima<br/>em site WordPress/LMS"] B --> C["💥 Explorar Falha de Auth<br/>InstructorsController<br/>sem verificação de autorização"] C --> D["🔧 Escalada para Admin<br/>Conta Estudante promovida<br/>a Administrador WordPress"] D --> E["🔧 Controle Total do CMS<br/>Instalar plugins maliciosos<br/>upload de web shell"] E --> F["💀 Comprometimento do Site<br/>RCE no servidor<br/>acesso a dados de usuários"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` ## Impacto Técnico Um atacante com conta de Estudante (ou superior) que explore esta vulnerabilidade com sucesso pode: - **Escalada completa de privilégios:** elevar a conta para nível de Administrador WordPress - **Comprometimento total do site:** após obter acesso de Administrador, o atacante pode instalar plugins maliciosos, modificar conteúdo, exfiltrar dados de usuários e executar código PHP arbitrário via editor de temas - **Persistência:** criar contas de administrador adicionais para manutenção de acesso **Impacto para organizações LATAM/Brasil:** O [[WordPress]] é a plataforma de CMS mais utilizada no Brasil, e plugins LMS como o Masteriyo são comuns em plataformas de educação online, cursos corporativos e treinamentos. Organizações com portais de cursos online devem priorizar a atualização - contas de Estudante são frequentemente criadas por usuários externos não verificados, ampliando significativamente a superfície de ataque. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Masteriyo | Masteriyo LMS (WordPress Plugin) | ≤ 2.1.6 | 2.1.7 | **Como verificar:** no painel WordPress, acessar `Plugins > Plugins instalados` e verificar a versão do plugin "Masteriyo LMS". ## Patch e Mitigação **Patch oficial:** - Versão corrigida: **2.1.7** - Data de lançamento: 2026-03-25 - Referência: [Wordfence Advisory](https://www.wordfence.com/threat-intel/vulnerabilities/id/265be0af-66a4-4636-ab81-f8e2c5a1282e) **Como aplicar:** 1. Acessar `Painel WordPress > Plugins > Atualizações disponíveis` 2. Localizar "Masteriyo LMS" e aplicar a atualização para v2.1.7 3. Verificar se não há contas de administrador desconhecidas após a atualização: `Usuários > Todos os Usuários` (filtrar por Administrador) 4. Revisar logs de acesso para atividade suspeita de contas de Estudante anteriores à atualização **Mitigações temporárias:** - Desabilitar o plugin até que a atualização seja possível, caso a exposição seja crítica - Restringir criação de contas de Estudante a usuários verificados - Ativar autenticação de dois fatores para todas as contas WordPress ## Exploração Ativa **Status atual:** sem evidência de exploração ativa no momento da criação desta nota (2026-03-26) Dado o CVSS 9.8 e a simplicidade da exploração (requer apenas uma conta de Estudante), ataques oportunistas são esperados assim que um PoC se torne público. Monitorar CISA KEV e feeds de inteligência para atualizações. ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. Monitorar atualizações caso exploit público se torne disponível ou evidências de exploração ativa sejam confirmadas. ## Notas Relacionadas **TTPs relacionadas:** [[t1078-valid-accounts|T1078]] · [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores em risco:** [[education|educação]] · [[technology]] **Referências:** [Wordfence](https://www.wordfence.com/threat-intel/vulnerabilities/id/265be0af-66a4-4636-ab81-f8e2c5a1282e) · [VulnTitan](https://vulntitan.com/vulnerabilities/5206396) > [!latam] O WordPress alimenta a maioria dos portais de cursos online, plataformas de treinamento corporativo e sites de educação continuada no Brasil. Plugins LMS como o Masteriyo são adotados por empresas que oferecem treinamentos internos ou comercializam cursos. Com o vetor de exploração exigindo apenas uma conta de Estudante - facilmente obtida em plataformas abertas - o risco para portais de cursos online brasileiros é concreto e imediato. ## Mitigações Adicionais - [[m1051-update-software|M1051 - Update Software]] - Atualizar Masteriyo LMS para versão 2.1.7 imediatamente - [[m1018-user-account-management|M1018 - User Account Management]] - Auditar lista de Administradores WordPress e revogar contas suspeitas - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] - Habilitar MFA para contas de Administrador WordPress - [[m1047-audit|M1047 - Audit]] - Revisar logs de acesso para atividade suspeita de contas de Estudante anteriores à atualização