CVE-2026-8383
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Wtyczka LearnPress dla WordPressa przed wersją 4.3.7 nie zabezpiecza kontekstu `edit` na jednym ze swoich punktów końcowych REST, co pozwala nieautoryzowanym użytkownikom na uzyskanie informacji o rolach użytkowników, pełnej mapie uprawnień, dodatkowych uprawnieniach, lokalizacji oraz dacie rejestracji za pomocą odpowiednio skonstruowanego żądania.
Ocena ryzyka
Nieautoryzowani użytkownicy mogą uzyskać dostęp do wrażliwych informacji o użytkownikach, co może prowadzić do dalszych ataków lub naruszeń prywatności.
Rekomendacja
Zaleca się aktualizację wtyczki LearnPress do wersji 4.3.7 lub nowszej, aby zablokować dostęp do wrażliwych danych przez nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The LearnPress WordPress plugin before 4.3.7 does not gate the `edit` context on one of its REST endpoint behind the `edit_users` capability, allowing unauthenticated visitors to retrieve each returned user's roles, full capabilities map, extra capabilities, locale, and registration date via a crafted request

