CVE-2026-2446
KrytyczneStreszczenie
Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.
Ocena ryzyka
Brak odpowiednich zabezpieczeń może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do kont administratorów, co zagraża integralności i poufności danych w organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki PowerPack do wersji 1.3.0 lub nowszej, aby usunąć te luki bezpieczeństwa oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie aktywności użytkowników.
Oryginalny opis (angielski, źródło NVD)
The PowerPack for LearnDash WordPress plugin before 1.3.0 does not have authorization and CRSF checks in an AJAX action, allowing unauthenticated users to update arbitrary WordPress options (such as default_role etc) and create arbitrary admin users

