平台
wordpress
组件
learnpress
修复版本
4.3.4
4.3.4
CVE-2026-4333 是一个存储型跨站脚本 (XSS) 漏洞,影响 LearnPress – WordPress LMS Plugin 插件。攻击者可以通过在 learnpresscourses 短代码的 'skin' 属性中注入恶意脚本来利用此漏洞,从而在受影响的页面上执行任意 Web 脚本。该漏洞影响 LearnPress 插件的所有版本,包括 4.3.3 及更早版本。该漏洞已在 4.3.4 版本中修复。
CVE-2026-4333 漏洞存在于 WordPress LMS 插件 LearnPress 中,对使用此学习管理系统 (LMS) 的网站构成重大风险。攻击者可以通过 learnpresscourses 短代码的 'skin' 属性将恶意 JavaScript 代码注入到课程页面中。此注入的代码将在访问受影响页面的用户的浏览器中执行,可能导致 Cookie 被盗、重定向到恶意网站或操纵页面内容。主要原因是 'skin' 属性在 HTML 生成中使用之前未进行适当的输入验证。注册课程用户的数量众多的网站尤其容易受到攻击,因为成功的攻击可能会影响许多用户。
攻击者可以通过创建 learnpresscourses 短代码并在 'skin' 属性中设置恶意值来利用此漏洞。此恶意值将包含 JavaScript 代码,该代码将在访问包含短代码的页面的用户的浏览器中执行。攻击者可以将此短代码直接注入到网站代码中,或者利用允许代码注入的另一个插件或主题中的漏洞。
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
建议的解决方案是将 LearnPress 插件更新到 4.3.4 或更高版本。此版本包含修复程序,可在使用 'skin' 属性输入之前对其进行适当的验证,从而防止恶意代码注入。此外,请检查网站上现有的短代码,以确保 'skin' 属性中未使用任何不可信赖的值。如果无法立即更新,则临时解决方法是禁用 learnpresscourses 短代码或将对课程页面的访问限制为具有管理员权限的经过身份验证的用户。在应用任何更新或修改之前,必须对网站进行备份。
更新到 4.3.4 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
LearnPress 是一个流行的 WordPress 插件,允许用户创建和销售在线课程。
版本 4.3.4 修复了 CVE-2026-4333 漏洞,从而防止恶意代码注入。
禁用 learnpresscourses 短代码或将对课程页面的访问限制为管理员。
如果您使用的是 4.3.4 之前的版本,则您的网站容易受到攻击。
保持所有插件和主题更新,使用强密码并启用双因素身份验证。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。