CVE-2026-7648: Payment Bypass en LearnPress WordPress LMS Plugin
Plataforma
wordpress
Componente
learnpress
Corregido en
4.3.6
La vulnerabilidad CVE-2026-7648 afecta al plugin LearnPress – WordPress LMS Plugin para WordPress, utilizado para crear y vender cursos online. Esta falla permite a atacantes autenticados, con privilegios de suscriptor o superiores, inscribirse en cursos de pago sin costo alguno, debido a una manipulación incorrecta de parámetros en la API REST. Las versiones afectadas son desde la 0.0.0 hasta la 4.3.5. Se ha publicado una corrección en la versión 4.3.6.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede inscribirse en cualquier curso de pago ofrecido a través del plugin LearnPress sin incurrir en ningún costo. Esto representa una pérdida financiera directa para el proveedor del curso y puede afectar la integridad del sistema de pago. El atacante necesita tener un nivel de acceso de suscriptor o superior dentro del sitio WordPress, lo que significa que no es necesario ser un administrador para explotar la vulnerabilidad. Esta falla se basa en la manipulación de parámetros en la API REST, similar a otras vulnerabilidades de inyección de parámetros que pueden llevar a la ejecución de código no deseado, aunque en este caso el impacto se limita al bypass de pago.
Contexto de Explotación
La vulnerabilidad CVE-2026-7648 fue publicada el 14 de mayo de 2026. La probabilidad de explotación se considera media (EPSS score pendiente de evaluación). No se han reportado públicamente pruebas de concepto (POC) activas, pero la naturaleza de la vulnerabilidad (bypass de pago) la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear los foros de seguridad de WordPress y las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
Mitigación y Workarounds
La mitigación principal para CVE-2026-7648 es actualizar el plugin LearnPress a la versión 4.3.6 o posterior, donde se ha corregido la vulnerabilidad. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar y probar la actualización en un entorno de pruebas. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes a la API REST que contengan parámetros sospechosos o no esperados. Verifique después de la actualización que el proceso de pago funciona correctamente y que los usuarios no pueden inscribirse en cursos de pago sin realizar el pago.
Cómo corregirlo
Actualizar a la versión 4.3.6, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-7648 — Payment Bypass en LearnPress WordPress LMS Plugin?
CVE-2026-7648 es una vulnerabilidad de bypass de pago en el plugin LearnPress para WordPress. Permite a usuarios autenticados con acceso de suscriptor o superior inscribirse en cursos de pago sin pagar.
Am I affected by CVE-2026-7648 en LearnPress WordPress LMS Plugin?
Si está utilizando LearnPress en su sitio WordPress y su versión es anterior a 4.3.6, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin en su panel de administración de WordPress.
How do I fix CVE-2026-7648 en LearnPress WordPress LMS Plugin?
Actualice el plugin LearnPress a la versión 4.3.6 o posterior. Realice una copia de seguridad antes de actualizar y pruebe la actualización en un entorno de pruebas si es posible.
Is CVE-2026-7648 being actively exploited?
Aunque no se han reportado públicamente exploits activos, la naturaleza de la vulnerabilidad la convierte en un objetivo potencial. Se recomienda monitorear las fuentes de seguridad para detectar cualquier actividad maliciosa.
Where can I find the official LearnPress advisory for CVE-2026-7648?
Consulte el sitio web oficial de LearnPress y el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles: [https://www.learnpress.com/](https://www.learnpress.com/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...