Katalog CVE

CVE-2026-2446

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.

Ocena ryzyka

Brak odpowiednich zabezpieczeń może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do kont administratorów, co zagraża integralności i poufności danych w organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki PowerPack do wersji 1.3.0 lub nowszej, aby usunąć te luki bezpieczeństwa oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie aktywności użytkowników.

Oryginalny opis (angielski, źródło NVD)

The PowerPack for LearnDash WordPress plugin before 1.3.0 does not have authorization and CRSF checks in an AJAX action, allowing unauthenticated users to update arbitrary WordPress options (such as default_role etc) and create arbitrary admin users

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS