CVE-2026-9341 in Academy LMS Plugininformation

Résumé

par VulDB • 14/07/2026

Le plugin WordPress Academy LMS – WordPress LMS Plugin for Complete eLearning Solution est vulnérable à une référence directe d'objet non sécurisée (Insecure Direct Object Reference) dans toutes les versions jusqu'à la 3.8.0 incluse, via les gestionnaires AJAX 'save_lesson_note', 'get_lesson_note' et 'complete_lesson_video', en raison de l'absence de validation sur une clé contrôlée par l'utilisateur. Cela permet aux attaquants authentifiés disposant d'un accès au niveau « Abonné » (Subscriber) ou supérieur de lire, écraser ou supprimer les notes privées des leçons de n'importe quel autre utilisateur (y compris les administrateurs), et de falsifier la progression de complétion des leçons pour des utilisateurs arbitraires.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Wordfence

Réserver

23/05/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378293

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you know our Splunk app?

Download it now for free!