CVE-2026-3225 in LearnPress Pluginالمعلومات

الملخص

بحسب VulDB • 02/06/2026

يحتوي مكون LearnPress – WordPress LMS Plugin الإضافي لـ WordPress على ثغرة أمنية تسمح بحذف غير مصرح به لإجابات أسئلة الاختبارات بسبب غياب فحص الصلاحيات (capability check) في دالة `delete_question_answer()` التابعة للفئة `EditQuestionAjax` في جميع الإصدارات حتى 4.3.2.8 وشاملةً لها. يقوم مُوزِّع الأحداث `AbstractAjax::catch_lp_ajax()` بالتحقق من قيمة `wp_rest nonce`، لكنه لا يُجري أي فحص لـ `current_user_can()`، بينما تقتصر طريقة `QuestionAnswerModel::delete()` على التحقق من الحد الأدنى لعدد الإجابات دون التحقق من صلاحيات المستخدم. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "Subscriber" أو أعلى، حذف خيارات الإجابة من أي سؤال في الاختبارات الموجودة على الموقع.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

25/02/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352653

EPSS

0.00262

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!