Plattform
wordpress
Komponente
learnpress
Behoben in
4.3.4
4.3.4
CVE-2026-4333 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the LearnPress WordPress LMS Plugin. This flaw allows authenticated attackers, possessing Contributor-level access or higher, to inject malicious web scripts into pages. The vulnerability affects versions of the plugin up to and including 4.3.3, and a patch is available in version 4.3.4.
Die CVE-2026-4333-Schwachstelle im LearnPress WordPress LMS-Plugin stellt ein erhebliches Risiko für Websites dar, die dieses Learning Management System (LMS) verwenden. Sie ermöglicht einem Angreifer, bösartigen JavaScript-Code über das Attribut 'skin' des learnpresscourses-Shortcodes in Kursseiten einzuschleusen. Dieser injizierte Code wird in den Browsern der Benutzer ausgeführt, die die betroffenen Seiten besuchen, was zu Diebstahl von Cookies, Weiterleitung auf bösartige Websites oder Manipulation des Seiteninhalts führen kann. Die Ursache liegt in der unzureichenden Eingabevalidierung des Attributs 'skin', bevor es in der HTML-Generierung verwendet wird. Websites mit einer großen Anzahl von Kursanmeldungen sind besonders anfällig, da ein erfolgreicher Angriff viele Benutzer betreffen könnte.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen learnpresscourses-Shortcode mit einem bösartigen Wert im Attribut 'skin' erstellt. Dieser bösartige Wert würde JavaScript-Code enthalten, der in den Browsern der Benutzer ausgeführt wird, die die Seite mit dem Shortcode besuchen. Der Angreifer könnte diesen Shortcode direkt in den Code der Website einschleusen oder über eine Schwachstelle in einem anderen Plugin oder Theme, das Code-Injection ermöglicht. Die einfache Ausnutzbarkeit dieser Schwachstelle macht sie zu einem erheblichen Problem für LearnPress-Benutzer.
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist die Aktualisierung des LearnPress-Plugins auf Version 4.3.4 oder höher. Diese Version enthält eine Korrektur, die die Eingabe des Attributs 'skin' vor der Verwendung ordnungsgemäß validiert und so die Einschleusung von bösartigem Code verhindert. Überprüfen Sie außerdem die vorhandenen Shortcodes auf der Website, um sicherzustellen, dass keine nicht vertrauenswürdigen Werte im Attribut 'skin' verwendet werden. Wenn eine sofortige Aktualisierung nicht möglich ist, besteht eine vorübergehende Lösung darin, den learnpresscourses-Shortcode zu deaktivieren oder den Zugriff auf Kurseiten auf authentifizierte Benutzer mit Administratorrechten zu beschränken. Vor dem Anwenden von Aktualisierungen oder Änderungen ist eine Sicherung der Website unerlässlich.
Aktualisieren Sie auf Version 4.3.4 oder eine neuere gepatchte Version
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
LearnPress ist ein beliebtes WordPress-Plugin, mit dem Benutzer Online-Kurse erstellen und verkaufen können.
Version 4.3.4 behebt die CVE-2026-4333-Schwachstelle und verhindert so die Einschleusung von bösartigem Code.
Deaktivieren Sie den learnpresscourses-Shortcode oder beschränken Sie den Zugriff auf Kurseiten auf Administratoren.
Wenn Sie eine Version vor 4.3.4 verwenden, ist Ihre Website anfällig.
Halten Sie alle Plugins und Themes auf dem neuesten Stand, verwenden Sie starke Passwörter und aktivieren Sie die Zwei-Faktor-Authentifizierung.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.