Bijingus

**Nome do software vulnerável e versões afetadas** Versões do plugin wp-courses anteriores à 2.0.28 **Descrição** A vulnerabilidade permite que invasores remotos contornem a etapa de pagamento prevista para vídeos e materiais do curso. Isso é feito utilizando a API REST `/wp-json`, com `show in rest` habilitado para tipos de postagem personalizados, como `/wp-json/wp/v2/course` e `/wp-json/wp/v2/lesson`. A vulnerabilidade já foi explorada na prática. **Recomendações** Para versões do plugin wp-courses anteriores à 2.0.28, atualize para a versão 2.0.28 ou posterior para resolver o problema. Como solução temporária, considere desativar os endpoints da API REST `/wp-json/wp/v2/course` e `/wp-json/wp/v2/lesson` até que a atualização seja aplicada.