मुफ्त स्कैन करें
CRITICALCVE-2026-4365CVSS 9.1

LearnPress <= 4.3.2.8 - प्रमाणीकरण के बिना अनधिकृत मनमाना प्रश्न उत्तर हटाने की कमी

प्लेटफ़ॉर्म

wordpress

घटक

learnpress

में ठीक किया गया

4.3.3

4.3.3

AI Confidence: highNVDEPSS 0.1%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-4365 is a critical vulnerability affecting the LearnPress WordPress LMS plugin. It allows unauthenticated attackers to delete quiz answer options due to a missing capability check in the deletequestionanswer() function and improper nonce handling. This vulnerability impacts versions of LearnPress up to and including 4.3.2.8, and a patch is available in version 4.3.3.

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

CVE-2026-4365 LearnPress WordPress LMS प्लगइन में, अनधिकृत हमलावरों को deletequestionanswer() फ़ंक्शन में क्षमता जांच की कमी के कारण डेटा हटाने की अनुमति मिलती है। प्लगइन सार्वजनिक फ्रंटएंड HTML (lpData) में wprest nonce को उजागर करता है और इसे lp-load-ajax AJAX डिस्पैचर के एकमात्र सुरक्षा जाल के रूप में उपयोग करता है। deletequestion_answer ऑपरेशन के लिए क्षमता या स्वामित्व जांच की कमी के कारण, हमलावर प्रमाणीकरण के बिना पाठ्यक्रम सामग्री को हटा सकता है। यह ऑनलाइन शिक्षण प्लेटफार्मों के लिए एक महत्वपूर्ण जोखिम पैदा करता है और उपयोगकर्ताओं और प्रशासकों को प्रभावित कर सकता है। CVSS स्कोर 9.1 इस भेद्यता की गंभीर गंभीरता को उजागर करता है।

शोषण संदर्भ

यह भेद्यता एक हेरफेर किए गए AJAX अनुरोध के माध्यम से शोषण की जाती है। प्रमाणीकरण के बिना, एक हमलावर सार्वजनिक फ्रंटएंड से प्राप्त lpData nonce के साथ lp-load-ajax एंडपॉइंट को अनुरोध भेज सकता है। क्षमता जांच की कमी deletequestionanswer() फ़ंक्शन को निष्पादित करने की अनुमति देती है, जिससे पाठ्यक्रम से प्रश्न और उत्तर हटा दिए जाते हैं। nonce तक आसान पहुंच और एक्सेस नियंत्रण की कमी इस भेद्यता को विशेष रूप से चिंताजनक बनाती है। शोषण के लिए उन्नत तकनीकी कौशल की आवश्यकता नहीं होती है, जिससे स्वचालित हमलों का जोखिम बढ़ जाता है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट4 खतरा रिपोर्ट

EPSS

0.07% (21% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकlearnpress
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 4.3.2.84.3.3
4.3.2.84.3.3

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
80Kज्ञात
प्लगइन रेटिंग
4.3
WordPress आवश्यक
6.0+
संगत संस्करण तक
7.0
PHP आवश्यक
7.4+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-862

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के -33 दिन बाद पैच

शमन और वर्कअराउंड

तत्काल शमन उपाय LearnPress प्लगइन को संस्करण 4.3.3 या उच्चतर में अपडेट करना है। इस संस्करण में सुरक्षा सुधार शामिल है जो deletequestionanswer() फ़ंक्शन की सुरक्षा के लिए आवश्यक क्षमता जांच को लागू करता है। इसके अतिरिक्त, WordPress सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें, जिसमें मजबूत पासवर्ड लागू करना, सभी प्लगइन्स और थीम को नियमित रूप से अपडेट करना और उपयोगकर्ता विशेषाधिकारों को सीमित करना शामिल है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है। अतिरिक्त सुरक्षा परत प्रदान करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें।

कैसे ठीक करें

संस्करण 4.3.3 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-4365 क्या है — LearnPress – WordPress LMS Plugin for Create and Sell Online Courses में?

Nonce (number used once) एक सुरक्षा टोकन है जिसका उपयोग क्रॉस-साइट अनुरोध जालसाजी (CSRF) हमलों को रोकने के लिए किया जाता है। इस मामले में, lpData nonce का उचित सत्यापन न होने के कारण, हमलावरों को अनुरोधों को जाली बनाने की अनुमति मिलती है।

क्या मैं LearnPress – WordPress LMS Plugin for Create and Sell Online Courses में CVE-2026-4365 से प्रभावित हूं?

अगर तत्काल अपडेट संभव नहीं है, तो अस्थायी शमन उपायों को लागू करने पर विचार करें, जैसे कि व्यवस्थापन पैनल तक पहुंच को प्रतिबंधित करना और संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करना।

LearnPress – WordPress LMS Plugin for Create and Sell Online Courses में CVE-2026-4365 को कैसे ठीक करें?

LearnPress प्लगइन के संस्करण की जांच करें। यदि आप 4.3.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप कमजोर हैं। आप सर्वर लॉग में deletequestionanswer() फ़ंक्शन तक अनधिकृत पहुंच प्रयासों की भी खोज कर सकते हैं।

क्या CVE-2026-4365 का सक्रिय रूप से शोषण किया जा रहा है?

कुछ WordPress भेद्यता स्कैनिंग उपकरण इस भेद्यता का पता लगा सकते हैं। हालांकि, प्लगइन को अपडेट करना सबसे प्रभावी समाधान है।

CVE-2026-4365 के लिए LearnPress – WordPress LMS Plugin for Create and Sell Online Courses का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

CVSS स्कोर 9.1 एक महत्वपूर्ण जोखिम का संकेत देता है। इसका मतलब है कि भेद्यता का आसानी से फायदा उठाया जा सकता है और सिस्टम की गोपनीयता, अखंडता और उपलब्धता पर महत्वपूर्ण प्रभाव पड़ सकता है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें