CVE-2026-3225 in LearnPress Plugininformation

Résumé

par VulDB • 25/05/2026

Le plugin LearnPress – WordPress LMS Plugin pour WordPress est vulnérable à la suppression non autorisée des réponses aux questions de quiz en raison d'une vérification d'autorisation manquante dans la fonction delete_question_answer() de la classe EditQuestionAjax, dans toutes les versions jusqu'à la 4.3.2.8 incluse. Le dispatcher AbstractAjax::catch_lp_ajax() vérifie un nonce wp_rest mais n'effectue aucune vérification current_user_can(), et la méthode QuestionAnswerModel::delete() ne valide que les comptes de réponses minimum sans vérifier les capacités de l'utilisateur. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Subscriber ou supérieur, de supprimer les options de réponse de n'importe quelle question de quiz sur le site.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Réserver

25/02/2026

Divulgation

24/03/2026

Modérer

accepté

Entrée

VDB-352653

CPE

prêt

EPSS

0.00262

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!