Plateforme
wordpress
Composant
learnpress
Corrigé dans
4.3.4
4.3.4
CVE-2026-4333 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the LearnPress WordPress LMS Plugin. This flaw allows authenticated attackers, possessing Contributor-level access or higher, to inject malicious web scripts into pages. The vulnerability affects versions of the plugin up to and including 4.3.3, and a patch is available in version 4.3.4.
La vulnérabilité CVE-2026-4333 dans le plugin LearnPress pour WordPress représente un risque important pour les sites web utilisant ce Système de Gestion de l'Apprentissage (LMS). Elle permet à un attaquant d'injecter du code JavaScript malveillant dans les pages de cours via l'attribut 'skin' du shortcode learnpresscourses. Ce code injecté s'exécute dans les navigateurs des utilisateurs visitant les pages affectées, pouvant entraîner le vol de cookies, le redirection vers des sites web malveillants ou la manipulation du contenu de la page. La cause première est un manque de sanitisation adéquate de l'entrée de l'attribut 'skin' avant son utilisation dans la génération de HTML. Les sites web comptant un grand nombre d'utilisateurs inscrits à des cours sont particulièrement vulnérables, car une attaque réussie pourrait impacter de nombreux utilisateurs.
Un attaquant pourrait exploiter cette vulnérabilité en créant un shortcode learnpresscourses avec une valeur malveillante dans l'attribut 'skin'. Cette valeur malveillante contiendrait du code JavaScript qui serait exécuté dans les navigateurs des utilisateurs visitant la page contenant le shortcode. L'attaquant pourrait injecter ce shortcode directement dans le code du site web ou par le biais d'une vulnérabilité dans un autre plugin ou thème qui permet l'injection de code. La facilité d'exploitation de cette vulnérabilité en fait une préoccupation majeure pour les utilisateurs de LearnPress.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour le plugin LearnPress à la version 4.3.4 ou supérieure. Cette version inclut une correction qui sanitise correctement l'entrée de l'attribut 'skin' avant son utilisation, empêchant l'injection de code malveillant. De plus, examinez les shortcodes existants sur le site web pour vous assurer qu'aucun valeur non fiable n'est utilisée dans l'attribut 'skin'. Si la mise à jour immédiate n'est pas possible, une solution temporaire consiste à désactiver le shortcode learnpresscourses ou à restreindre l'accès aux pages de cours aux utilisateurs authentifiés disposant de privilèges administratifs. Une sauvegarde du site web est cruciale avant d'appliquer toute mise à jour ou modification.
Mettre à jour vers la version 4.3.4, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
LearnPress est un plugin populaire pour WordPress qui permet aux utilisateurs de créer et de vendre des cours en ligne.
La version 4.3.4 corrige la vulnérabilité CVE-2026-4333, empêchant l'injection de code malveillant.
Désactivez le shortcode learnpresscourses ou restreignez l'accès aux pages de cours aux administrateurs.
Si vous utilisez une version antérieure à la 4.3.4, votre site web est vulnérable.
Maintenez tous les plugins et thèmes à jour, utilisez des mots de passe forts et activez l'authentification à deux facteurs.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.