CVE-2026-3225 in LearnPress Plugin
Riassunto
di VulDB • 20/06/2026
Il plugin LearnPress – WordPress LMS Plugin per WordPress è vulnerabile alla cancellazione non autorizzata delle risposte alle domande dei quiz a causa di una mancanza di verifica delle capacità (capability check) nella funzione delete_question_answer() della classe EditQuestionAjax in tutte le versioni fino alla 4.3.2.8 inclusa. Il dispatcher AbstractAjax::catch_lp_ajax() verifica un nonce wp_rest ma non esegue alcun controllo current_user_can(), e il metodo QuestionAnswerModel::delete() valida solo i conteggi minimi delle risposte senza verificare le capacità dell'utente. Ciò consente agli attaccanti autenticati, con accesso a livello di Sottoscrittore (Subscriber) o superiore, di eliminare le opzioni di risposta da qualsiasi domanda del quiz presente nel sito.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.