Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

LearnPress <= 4.3.6 - Unauthenticated Sensitive Information Exposure via 'c_status' and 'return_type' Parameters (vulnerabilidad) - version 4.3.7

PLUGIN MEDIUM CVE-2026-8502

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin LearnPress que permite la exposición no autenticada de información sensible a través de los parámetros 'c_status' y 'return_type'. Esta situación puede comprometer la seguridad de los datos de los usuarios, afectando la integridad operativa del sitio.

Contexto técnico

El fallo se presenta en el plugin LearnPress en versiones anteriores a la 4.3.7, donde los parámetros mencionados pueden ser manipulados para acceder a información sensible sin necesidad de autenticación. Esto expone la superficie de ataque a usuarios malintencionados que buscan explotar la debilidad.

Impacto potencial

La exposición de información sensible puede resultar en la filtración de datos críticos, lo que podría llevar a un uso indebido de la información de los usuarios y daños a la reputación del negocio. La severidad de este fallo, clasificado como medio con un CVSS de 5.3, requiere atención inmediata para evitar posibles consecuencias legales y de confianza.

Vector de explotación

La explotación se realiza mediante la manipulación de las solicitudes a la API del plugin, donde un atacante puede enviar peticiones maliciosas utilizando los parámetros vulnerables para obtener información no autorizada.

Mitigación recomendada

Actualizar el plugin LearnPress a la versión 4.3.7 o superior para corregir la vulnerabilidad. Revisar los logs de acceso para identificar cualquier actividad sospechosa relacionada con el uso de los parámetros 'c_status' y 'return_type'. Implementar medidas de seguridad adicionales, como la limitación de acceso a la API y la validación de entradas.

Señales de detección

Señales a observar incluyen accesos inusuales a los parámetros vulnerables en los logs de acceso, así como peticiones que intenten acceder a información sensible sin autenticación.

Alcance afectado

Las versiones de LearnPress anteriores a la 4.3.7 son las afectadas. No se han confirmado otros escenarios o plugins relacionados en este momento.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

learnpress

LearnPress <= 4.3.2.8 - Missing Authorization to Unauthenticated Arbitrary Quiz Answer Deletion

Ver ficha
MEDIUM PLUGIN

learnpress

LearnPress – WordPress LMS Plugin <= 4.3.2.4 - Missing Authorization to Unauthenticated Sensitive User Information Disclosure via REST API

Ver ficha
MEDIUM PLUGIN

learnpress

LearnPress – WordPress LMS Plugin <= 4.3.2 - Missing Authentication to Unauthenticated Course Modification

Ver ficha
MEDIUM PLUGIN

learnpress

LearnPress – WordPress LMS Plugin <= 4.3.1 - Missing Authorization to Unauthenticated Orders Statistics Exposure

Ver ficha
MEDIUM PLUGIN

learnpress

LearnPress – WordPress LMS Plugin <= 4.2.9.4 - Missing Authorization to Unauthenticated Arbitrary Callback Execution to Information Exposure

Ver ficha
MEDIUM PLUGIN

learnpress

LearnPress – WordPress LMS Plugin <= 4.2.9.3 - Missing Authorization to Unauthenticated Database Table Manipulation

Ver ficha
MEDIUM PLUGIN

learnpress

LearnPress – WordPress LMS Plugin <= 4.2.6.8.1 - Missing Authorization to Unauthenticated User Registration Bypass

Ver ficha
MEDIUM PLUGIN

learnpress

LearnPress – WordPress LMS Plugin <= 4.2.6.8.1 - Unauthenticated Bypass to User Registration

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad