LearnPress 越权邮件触发漏洞CVE-2026-3226

LearnPress 是由 ThimPress 开发的免费开源 WordPress LMS（学习管理系统）插件，不仅适配所有 WordPress 主题，而支持多站点。

一、基本情况

LearnPress 是用于 WordPress 开源学习管理系统插件，主打轻量易用、可扩展，用于快速搭建在线课程网站、售卖课程与管理学员。

LearnPress 核心插件免费（GPL），提供付费 PRO 捆绑包与扩展插件，全球活跃安装超 21 万，是 WordPress 生态 LMS 方案之一。

栋科技漏洞库关注到 LearnPress – WordPress LMS Plugin 在4.3.2.8 及以下版本的漏洞，追踪为CVE-2026-3226，CVSS 3.1评分4.3。

二、漏洞分析

CVE-2026-3226 漏洞是存在于 LearnPress 插件中的越权邮件触发漏洞，利用漏洞可造成邮件泛滥、社交工程攻击或伪造管理员决策。

漏洞存在于插件 4.3.2.8 及以下所有版本，由于 SendEmailAjax 类的全部 10 个函数均缺失权限校验导致的未授权触发邮件通知的漏洞。

该插件的 `AbstractAjax::catch_lp_ajax()` 调度器在分发请求到 `SendEmailAjax` 类中的 10 个处理函数时，仅验证了 `wp_rest` Nonce。

其在分发至处理函数前未执行current_user_can ()权限检查，该Nonce对所有已登录用户（含订阅者权限）在前端JavaScript中均可见。

导致拥有订阅者（Subscriber）及以上权限认证攻击者可向管理员、讲师和用户触发任意邮件通知（如讲师申请通过、管理员通知等）。

因此，该漏洞的潜在风险包括进一步实施邮件轰炸、社会工程学攻击，以及冒充管理员对讲师申请作出决策。

三、影响范围

LearnPress <= 4.3.2.8

四、修复建议

LearnPress > 4.3.2.8

五、参考链接

管理员已设置登录后刷新可查看