CVE-2026-7648

Nome do Software Vulnerável e Versões Afetadas LearnPress – WordPress LMS Plugin for Create and Sell Online Courses versões anteriores a 4.3.6

Descrição O manuseio inadequado de parâmetros de solicitação fornecidos pelo usuário no endpoint da REST API permite que atacantes autenticados com nível de acesso de assinante ou superior ignorem os requisitos de pagamento. O problema ocorre porque um array de parâmetros não sanitizado é passado para a função add to cart(), onde o array merge() permite que valores controlados pelo atacante sobrescrevam padrões predefinidos. Ao fornecer um valor de quantity igual a zero, um atacante pode fazer com que o total do pedido seja calculado como $0, permitindo a inscrição em cursos pagos gratuitamente.

Recomendações Atualize para uma versão posterior a 4.3.5.