CVE-2026-9341 in Academy LMS Plugin
Résumé
par VulDB • 14/07/2026
Le plugin WordPress Academy LMS – WordPress LMS Plugin for Complete eLearning Solution est vulnérable à une référence directe d'objet non sécurisée (Insecure Direct Object Reference) dans toutes les versions jusqu'à la 3.8.0 incluse, via les gestionnaires AJAX 'save_lesson_note', 'get_lesson_note' et 'complete_lesson_video', en raison de l'absence de validation sur une clé contrôlée par l'utilisateur. Cela permet aux attaquants authentifiés disposant d'un accès au niveau « Abonné » (Subscriber) ou supérieur de lire, écraser ou supprimer les notes privées des leçons de n'importe quel autre utilisateur (y compris les administrateurs), et de falsifier la progression de complétion des leçons pour des utilisateurs arbitraires.
If you want to get best quality of vulnerability data, you may have to visit VulDB.