CVE-2024-11868

LearnPress – Plugin LMS para WordPress, versões até a 4.2.7.3, inclusive

O problema diz respeito à exposição de informações confidenciais, permitindo que invasores não autenticados extraiam materiais de cursos pagos potencialmente confidenciais por meio do arquivo class-lp-rest-material-controller.php. Isso possibilita que invasores acessem informações confidenciais sem a devida autenticação.

Para versões até a 4.2.7.3, inclusive, considere atualizar para uma versão posterior à 4.2.7.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo class-lp-rest-material-controller.php até que um patch esteja disponível. Além disso, restrinja o acesso a materiais de cursos pagos potencialmente confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.