CVE-2026-3225 in LearnPress Plugininformazioni

Riassunto

di VulDB • 20/06/2026

Il plugin LearnPress – WordPress LMS Plugin per WordPress è vulnerabile alla cancellazione non autorizzata delle risposte alle domande dei quiz a causa di una mancanza di verifica delle capacità (capability check) nella funzione delete_question_answer() della classe EditQuestionAjax in tutte le versioni fino alla 4.3.2.8 inclusa. Il dispatcher AbstractAjax::catch_lp_ajax() verifica un nonce wp_rest ma non esegue alcun controllo current_user_can(), e il metodo QuestionAnswerModel::delete() valida solo i conteggi minimi delle risposte senza verificare le capacità dell'utente. Ciò consente agli attaccanti autenticati, con accesso a livello di Sottoscrittore (Subscriber) o superiore, di eliminare le opzioni di risposta da qualsiasi domanda del quiz presente nel sito.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

25/02/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00262

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!