Katalog CVE

CVE-2026-8383

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Wtyczka LearnPress dla WordPressa przed wersją 4.3.7 nie zabezpiecza kontekstu `edit` na jednym ze swoich punktów końcowych REST, co pozwala nieautoryzowanym użytkownikom na uzyskanie informacji o rolach użytkowników, pełnej mapie uprawnień, dodatkowych uprawnieniach, lokalizacji oraz dacie rejestracji za pomocą odpowiednio skonstruowanego żądania.

Ocena ryzyka

Nieautoryzowani użytkownicy mogą uzyskać dostęp do wrażliwych informacji o użytkownikach, co może prowadzić do dalszych ataków lub naruszeń prywatności.

Rekomendacja

Zaleca się aktualizację wtyczki LearnPress do wersji 4.3.7 lub nowszej, aby zablokować dostęp do wrażliwych danych przez nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The LearnPress WordPress plugin before 4.3.7 does not gate the `edit` context on one of its REST endpoint behind the `edit_users` capability, allowing unauthenticated visitors to retrieve each returned user's roles, full capabilities map, extra capabilities, locale, and registration date via a crafted request

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS