CVE-2025-11368 in LearnPress Plugin
要約
〜によって VulDB • 2026年05月23日
WordPress用LMSプラグイン「LearnPress – WordPress LMS Plugin」の全バージョン(4.2.9.4を含む)において、機密情報の漏洩(Sensitive Information Disclosure)の脆弱性が存在します。これは、RESTエンドポイント `/wp-json/lp/v1/load_content_via_ajax` において、管理者専用のテンプレートメソッドに対する任意のコールバック実行を可能にする権限チェックが欠落しているためです。これにより、攻撃者は有効な数値IDを提供する限り、認証なしで管理者用のカリキュラムHTML、正解付きのクイズ問題、コース教材、その他の機密性の高い教育コンテンツをREST APIエンドポイント経由で取得することが可能になります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.