Plataforma
wordpress
Componente
learnpress
Corrigido em
4.3.4
4.3.4
CVE-2026-4333 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the LearnPress WordPress LMS Plugin. This flaw allows authenticated attackers, possessing Contributor-level access or higher, to inject malicious web scripts into pages. The vulnerability affects versions of the plugin up to and including 4.3.3, and a patch is available in version 4.3.4.
A vulnerabilidade CVE-2026-4333 no plugin LearnPress para WordPress representa um risco significativo para sites que utilizam este Sistema de Gerenciamento de Aprendizagem (LMS). Ela permite que um atacante injete código JavaScript malicioso em páginas de cursos através do atributo 'skin' do shortcode learnpresscourses. Este código injetado é executado nos navegadores dos usuários que visitam as páginas afetadas, podendo levar ao roubo de cookies, redirecionamento para sites maliciosos ou manipulação do conteúdo da página. A causa raiz é a falta de sanitização adequada da entrada do atributo 'skin' antes de seu uso na geração de HTML. Sites com um grande número de usuários registrados em cursos são particularmente vulneráveis, pois um ataque bem-sucedido pode impactar muitos usuários.
Um atacante pode explorar esta vulnerabilidade criando um shortcode learnpresscourses com um valor malicioso no atributo 'skin'. Este valor malicioso conteria código JavaScript que seria executado nos navegadores dos usuários que visitam a página contendo o shortcode. O atacante pode injetar este shortcode diretamente no código do site ou através de uma vulnerabilidade em outro plugin ou tema que permita a injeção de código. A facilidade de exploração torna esta vulnerabilidade uma preocupação significativa para os usuários do LearnPress.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o plugin LearnPress para a versão 4.3.4 ou superior. Esta versão inclui uma correção que sanitiza adequadamente a entrada do atributo 'skin' antes de seu uso, prevenindo a injeção de código malicioso. Além disso, revise os shortcodes existentes no site para garantir que nenhum valor não confiável esteja sendo usado no atributo 'skin'. Se a atualização imediata não for possível, uma solução temporária é desativar o shortcode learnpresscourses ou restringir o acesso às páginas de cursos a usuários autenticados com privilégios administrativos. Um backup do site é crucial antes de aplicar qualquer atualização ou modificação.
Atualize para a versão 4.3.4, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
LearnPress é um plugin popular para WordPress que permite aos usuários criar e vender cursos online.
A versão 4.3.4 corrige a vulnerabilidade CVE-2026-4333, prevenindo a injeção de código malicioso.
Desative o shortcode learnpresscourses ou restrinja o acesso às páginas de cursos a administradores.
Se você estiver usando uma versão anterior à 4.3.4, seu site é vulnerável.
Mantenha todos os plugins e temas atualizados, use senhas fortes e habilite a autenticação de dois fatores.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.