CVE-2024-1289

LearnPress – Plugin LMS para WordPress, versões até a 4.2.6.3, inclusive

A vulnerabilidade permite que invasores autenticados obtenham informações sobre pedidos feitos por outros usuários e visitantes, devido à falta de validação de uma chave controlada pelo usuário durante a consulta de informações de pedidos. Isso pode ser aproveitado para se inscrever em cursos pagos que foram adquiridos por visitantes, e os e-mails de outros usuários também ficam expostos.

Para versões até a 4.2.6.3, inclusive, atualize para uma versão posterior à 4.2.6.3 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de consulta de informações de pedidos até que um patch esteja disponível.