CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-2446

Critical
Published: Translated: NVD NIST

Summary

Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.

Risk Assessment

Brak odpowiednich zabezpieczeń może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do kont administratorów, co zagraża integralności i poufności danych w organizacji.

Recommendation

Zaleca się aktualizację wtyczki PowerPack do wersji 1.3.0 lub nowszej, aby usunąć te luki bezpieczeństwa oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie aktywności użytkowników.

Original NVD description (English source)

The PowerPack for LearnDash WordPress plugin before 1.3.0 does not have authorization and CRSF checks in an AJAX action, allowing unauthenticated users to update arbitrary WordPress options (such as default_role etc) and create arbitrary admin users

Vulnerability data from NVD (NIST) · CISA KEV · EPSS