目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-11988— ThimPress LearnPress 授权问题漏洞

CVSS 6.5 · Medium EPSS 0.27% · P19

可能的 ATT&CK 技术 1AI

T1135 · Network Share Discovery

影响版本矩阵 1

获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-11988 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
LearnPress <= 4.3.9.1 - Insecure Direct Object Reference to Authenticated (Subscriber+) Sensitive Information Disclosure via 'userId' Parameter
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
The LearnPress – WordPress LMS Plugin for Create and Sell Online Courses plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 4.3.9.1 via the 'userId' parameter due to missing validation on a user controlled key. This makes it possible for authenticated attackers, with subscriber-level access and above, to view the course enrollment progress and completion data belonging to any instructor or administrator account on the site. This IDOR does not apply when the target user is a regular subscriber, as the guard correctly blocks cross-subscriber access; exploitation is limited to cases where the victim user holds the LP_TEACHER_ROLE or administrator role.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
通过用户控制密钥绕过授权机制
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
ThimPress LearnPress 授权问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
thimpress LearnPress – WordPress LMS Plugin for Create and Sell Online Courses是thimpress公司的WordPress LMS插件。 ThimPress LearnPress 4.3.9.1及之前版本存在授权问题漏洞,该漏洞源于对‘userId’参数的用户控制键验证缺失,存在不安全的直接对象引用,可能导致经过身份验证的攻击者查看属于教师或管理员账户的课程注册进度和完成数据。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

二、漏洞 CVE-2026-11988 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-11988 的情报信息

登录查看更多情报信息。

CVE-2026-11988 补丁与修复 (2)

CVE-2026-11988 新闻报道 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-11988

暂无评论


发表评论