CVE-2022-3360

Versões do plugin LearnPress para WordPress anteriores à 4.1.7.2

O problema decorre da deserialização de entradas do usuário em um endpoint da API REST, que é acessível a usuários não autenticados. Isso pode levar à injeção de objetos PHP quando um gadget adequado estiver presente, resultando na execução remota de código (RCE). Para explorar essa vulnerabilidade, os invasores devem ter conhecimento dos segredos do site, o que lhes permite gerar um hash válido por meio da função wp hash().

Para versões anteriores à 4.1.7.2, atualize para a versão 4.1.7.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API REST para minimizar o risco de exploração.