Platform
wordpress
Component
learnpress
Opgelost in
4.3.4
4.3.4
CVE-2026-4333 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the LearnPress WordPress LMS Plugin. This flaw allows authenticated attackers, possessing Contributor-level access or higher, to inject malicious web scripts into pages. The vulnerability affects versions of the plugin up to and including 4.3.3, and a patch is available in version 4.3.4.
De CVE-2026-4333 kwetsbaarheid in de LearnPress WordPress LMS plugin vormt een aanzienlijk risico voor websites die dit Learning Management Systeem (LMS) gebruiken. Het stelt een aanvaller in staat om kwaadaardige JavaScript-code in cursuspagina's in te voegen via het 'skin' attribuut van de learnpresscourses shortcode. Deze geïnjecteerde code wordt uitgevoerd in de browsers van gebruikers die de getroffen pagina's bezoeken, wat kan leiden tot diefstal van cookies, doorverwijzing naar kwaadaardige websites of manipulatie van de pagina-inhoud. De hoofdoorzaak is het onvoldoende valideren van de invoer van het 'skin' attribuut voordat het in de HTML-generatie wordt gebruikt. Websites met een groot aantal geregistreerde cursusgebruikers zijn bijzonder kwetsbaar, aangezien een succesvolle aanval veel gebruikers kan treffen.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een learnpresscourses shortcode te creëren met een kwaadaardige waarde in het 'skin' attribuut. Deze kwaadaardige waarde zou JavaScript-code bevatten die wordt uitgevoerd in de browsers van gebruikers die de pagina met de shortcode bezoeken. De aanvaller kan deze shortcode rechtstreeks in de code van de website injecteren, of via een kwetsbaarheid in een ander plugin of thema dat code-injectie mogelijk maakt. De eenvoudige uitbuitbaarheid van deze kwetsbaarheid maakt deze tot een belangrijk probleem voor LearnPress-gebruikers.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om de LearnPress plugin bij te werken naar versie 4.3.4 of hoger. Deze versie bevat een correctie die de invoer van het 'skin' attribuut correct valideert voordat het wordt gebruikt, waardoor het injecteren van kwaadaardige code wordt voorkomen. Controleer bovendien de bestaande shortcodes op de website om ervoor te zorgen dat er geen onbetrouwbare waarden in het 'skin' attribuut worden gebruikt. Als een onmiddellijke update niet mogelijk is, is een tijdelijke oplossing om de learnpresscourses shortcode te deactiveren of de toegang tot cursuspagina's te beperken tot geauthenticeerde gebruikers met beheerdersrechten. Een website back-up is cruciaal voordat u updates of wijzigingen toepast.
Update naar versie 4.3.4, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
LearnPress is een populaire WordPress plugin waarmee gebruikers online cursussen kunnen maken en verkopen.
Versie 4.3.4 corrigeert de CVE-2026-4333 kwetsbaarheid en voorkomt zo het injecteren van kwaadaardige code.
Deactiveer de learnpresscourses shortcode of beperk de toegang tot cursuspagina's tot beheerders.
Als u een versie ouder dan 4.3.4 gebruikt, is uw website kwetsbaar.
Houd alle plugins en thema's up-to-date, gebruik sterke wachtwoorden en schakel tweefactorauthenticatie in.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.