プラットフォーム
wordpress
コンポーネント
learnpress
修正版
4.3.4
4.3.4
CVE-2026-4333 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the LearnPress WordPress LMS Plugin. This flaw allows authenticated attackers, possessing Contributor-level access or higher, to inject malicious web scripts into pages. The vulnerability affects versions of the plugin up to and including 4.3.3, and a patch is available in version 4.3.4.
CVE-2026-4333 は、WordPress LMS プラグイン LearnPress に存在する脆弱性であり、この学習管理システム (LMS) を使用しているウェブサイトに重大なリスクをもたらします。攻撃者は、learnpresscourses ショートコードの 'skin' 属性を介して、コースページに悪意のある JavaScript コードを挿入できます。この挿入されたコードは、影響を受けるページを訪問するユーザーのブラウザで実行され、Cookie の窃盗、悪意のあるウェブサイトへのリダイレクト、またはページコンテンツの操作につながる可能性があります。主な原因は、HTML 生成で使用する前に 'skin' 属性の入力を適切にサニタイズしていないことです。登録済みのコースユーザーの数が非常に多いウェブサイトは特に脆弱であり、攻撃が成功すると多くのユーザーに影響を与える可能性があります。
攻撃者は、learnpresscourses ショートコードを作成し、'skin' 属性に悪意のある値を設定することで、この脆弱性を悪用できます。この悪意のある値には、JavaScript コードが含まれており、ショートコードを含むページを訪問するユーザーのブラウザで実行されます。攻撃者は、このショートコードをウェブサイトのコードに直接挿入するか、コードインジェクションを可能にする別のプラグインまたはテーマの脆弱性を利用して挿入できます。この脆弱性の簡単な悪用により、LearnPress ユーザーにとって重要な問題となっています。
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される解決策は、LearnPress プラグインをバージョン 4.3.4 以降に更新することです。このバージョンには、'skin' 属性の入力を使用する前に適切にサニタイズする修正が含まれています。さらに、ウェブサイトの既存のショートコードを確認して、'skin' 属性に信頼できない値が使用されていないことを確認してください。直ちに更新できない場合は、一時的な回避策として、learnpresscourses ショートコードを無効にするか、コースページへのアクセスを管理者権限を持つ認証されたユーザーに制限します。更新または変更を適用する前に、ウェブサイトのバックアップが不可欠です。
バージョン 4.3.4、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
LearnPress は、ユーザーがオンラインコースを作成および販売できる人気の WordPress プラグインです。
バージョン 4.3.4 は CVE-2026-4333 脆弱性を修正し、悪意のあるコードの挿入を防ぎます。
learnpresscourses ショートコードを無効にするか、コースページへのアクセスを管理者のみに制限します。
バージョン 4.3.4 より前のバージョンを使用している場合は、ウェブサイトが脆弱です。
すべてのプラグインとテーマを最新の状態に保ち、強力なパスワードを使用し、二要素認証を有効にします。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。