CVE-2026-2446
CriticalSummary
Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.
Risk Assessment
Brak odpowiednich zabezpieczeń może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do kont administratorów, co zagraża integralności i poufności danych w organizacji.
Recommendation
Zaleca się aktualizację wtyczki PowerPack do wersji 1.3.0 lub nowszej, aby usunąć te luki bezpieczeństwa oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie aktywności użytkowników.
Original NVD description (English source)
The PowerPack for LearnDash WordPress plugin before 1.3.0 does not have authorization and CRSF checks in an AJAX action, allowing unauthenticated users to update arbitrary WordPress options (such as default_role etc) and create arbitrary admin users

