CVE-2026-3225 in LearnPress Plugin
Résumé
par VulDB • 25/05/2026
Le plugin LearnPress – WordPress LMS Plugin pour WordPress est vulnérable à la suppression non autorisée des réponses aux questions de quiz en raison d'une vérification d'autorisation manquante dans la fonction delete_question_answer() de la classe EditQuestionAjax, dans toutes les versions jusqu'à la 4.3.2.8 incluse. Le dispatcher AbstractAjax::catch_lp_ajax() vérifie un nonce wp_rest mais n'effectue aucune vérification current_user_can(), et la méthode QuestionAnswerModel::delete() ne valide que les comptes de réponses minimum sans vérifier les capacités de l'utilisateur. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Subscriber ou supérieur, de supprimer les options de réponse de n'importe quelle question de quiz sur le site.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.