El plugin LearnPress – WordPress LMS Plugin para WordPress es vulnerable a Referencia Directa de Objetos Insegura en todas las versiones hasta, e incluyendo, la 4.2.6.3 debido a la falta de validación en una clave controlada por el usuario al buscar información de pedidos. Esto hace posible que atacantes autenticados obtengan información sobre pedidos realizados por otros usuarios e invitados, lo que puede ser aprovechado para inscribirse en cursos pagados que fueron comprados por invitados. Los correos electrónicos de otros usuarios también quedan expuestos.
Los usuarios afectados por esta vulnerabilidad en LearnPress <= 4.2.6.3 deben tomar medidas inmediatas para proteger su información y la de sus clientes. Se recomienda actualizar el plugin a la última versión disponible que solucione este problema. Además, se sugiere restringir el acceso a roles de usuario no autorizados y realizar auditorías de seguridad periódicas para detectar posibles vulnerabilidades.
La Referencia Directa de Objetos Insegura en LearnPress <= 4.2.6.3 representa un riesgo significativo para la privacidad y seguridad de los usuarios. Es fundamental tomar medidas proactivas para mitigar esta vulnerabilidad y proteger los datos confidenciales de los clientes. Mantenerse actualizado con las últimas versiones de los plugins y realizar buenas prácticas de seguridad son acciones clave para prevenir posibles ataques.