Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin LearnPress, que afecta a las versiones hasta la 4.2.7.5. Esta falla puede permitir a usuarios no autorizados acceder a funcionalidades restringidas.
Fuente base de datos: Wordfence Intelligence
LearnPress <= 4.2.7.5 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-22739
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la falta de controles de autorización adecuados, lo que permite a usuarios con privilegios limitados realizar acciones que deberían estar restringidas. La superficie de ataque se amplía a cualquier instalación del plugin vulnerable que no haya sido actualizada.
Impacto potencial
La explotación de esta vulnerabilidad puede comprometer la integridad de los datos y la seguridad del sitio, permitiendo a atacantes acceder a información sensible o modificar configuraciones críticas, lo que podría tener repercusiones financieras y de reputación para el negocio.
Vector de explotación
Generalmente, la explotación se lleva a cabo mediante la manipulación de solicitudes HTTP para acceder a funcionalidades que no deberían estar disponibles para el usuario, aprovechando la falta de validación de permisos.
Mitigación recomendada
Se recomienda actualizar el plugin LearnPress a la versión 4.2.7.6 o superior. Además, se sugiere revisar y fortalecer las configuraciones de autorización y acceso en el sitio.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales a áreas restringidas del plugin o intentos de ejecución de acciones administrativas por parte de usuarios no autorizados.
Alcance afectado
Las versiones del plugin LearnPress hasta la 4.2.7.5 son vulnerables. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión y apliquen las actualizaciones necesarias.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
learnpress
LearnPress <= 4.3.2.8 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Quiz Answer Deletion
MEDIUM
PLUGIN
learnpress
LearnPress <= 4.3.2.8 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Email Notification Triggering
MEDIUM
PLUGIN
learnpress
LearnPress – WordPress LMS Plugin <= 4.3.2.4 - Missing Authorization to Unauthenticated Sensitive User Information Disclosure via REST API
MEDIUM
PLUGIN
learnpress
LearnPress – WordPress LMS Plugin <= 4.3.2.2 - Insecure Direct Object Reference to Authenticated (Instructor+) Teacher Material Deletion
MEDIUM
PLUGIN
learnpress
LearnPress – WordPress LMS Plugin <= 4.3.2 - Missing Authentication to Unauthenticated Course Modification
MEDIUM
PLUGIN
learnpress
LearnPress – WordPress LMS Plugin <= 4.3.1 - Missing Authorization to Unauthenticated Orders Statistics Exposure
MEDIUM
PLUGIN
learnpress
LearnPress – WordPress LMS Plugin <= 4.3.1 - Authenticated (Subscriber+) Stored Cross-Site Scripting via get_profile_social
MEDIUM
PLUGIN
learnpress
LearnPress <= 4.2.9.4 - Missing Authorization
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto