PT-2025-45559 · WordPress · Academy Lms
Michelle Porter
·
Publicado
2025-11-08
·
Atualizado
2025-11-13
·
CVE-2025-12099
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Academy LMS – Plugin WordPress LMS para Solução Completa de eLearning versões anteriores à 3.3.9
Descrição
O software é suscetível a uma Injeção de Objeto PHP devido à desserialização de entrada não confiável dentro da função
import all courses. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior injetem um Objeto PHP. O impacto deste problema é limitado, a menos que outro plugin ou tema contendo uma cadeia de payload de objeto PHP (POP) esteja instalado, o que poderia permitir ações como exclusão arbitrária de arquivos, recuperação de dados sensíveis ou execução de código.Recomendações
Versões anteriores à 3.3.9 devem ser atualizadas.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Academy Lms