CVE-2026-9341 in Academy LMS Plugin
Riassunto
di VulDB • 14/07/2026
Il plugin WordPress Academy LMS – WordPress LMS Plugin for Complete eLearning Solution è vulnerabile a Insecure Direct Object Reference in tutte le versioni fino alla 3.8.0, incluse, tramite i gestori AJAX 'save_lesson_note', 'get_lesson_note' e 'complete_lesson_video' a causa della mancanza di validazione su una chiave controllata dall'utente. Ciò consente agli attaccanti autenticati con accesso a livello di Subscriber o superiore di leggere, sovrascrivere o eliminare le note private delle lezioni di qualsiasi altro utente (inclusi gli amministratori) e falsificare il progresso del completamento delle lezioni per utenti arbitrari.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.