CVE-2026-9341 in Academy LMS Plugin
摘要
由 VulDB • 2026-07-14
The Academy LMS – WordPress LMS Plugin for Complete eLearning Solution 插件存在不安全的直接对象引用(Insecure Direct Object Reference)漏洞,影响所有版本直至并包括 3.8.0。该漏洞存在于 'save_lesson_note'、'get_lesson_note' 和 'complete_lesson_video' AJAX 处理程序中,原因是缺少对用户可控键的验证。这使得具有订阅者级别及以上访问权限的攻击者在经过身份认证后,能够读取、覆盖或删除任何其他用户(包括管理员)的课程笔记,并伪造任意用户的课程完成进度。
Once again VulDB remains the best source for vulnerability data.