NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

CVE-2026-4365: Detectada Vulnerabilidad Crítica (CVSS 9.1)

🛡CyberObservatorio
Idioma
◢ VULNERABILIDADES ◣

CVE-2026-4365: Detectada Vulnerabilidad Crítica (CVSS 9.1)

⟫ 15/04/2026 ⟫ NVD/NIST
Fuente: NVD NIST

**Nueva Vulnerabilidad Crítica en LearnPress: CVE-2026-4365**

En el ámbito de la ciberseguridad, la identificación de vulnerabilidades críticas es un asunto de máxima importancia, no solo para los desarrolladores de software, sino también para las empresas y los usuarios finales que dependen de estas plataformas. Recientemente, se ha descubierto una vulnerabilidad crítica en el popular plugin LearnPress para WordPress, identificada como CVE-2026-4365, que presenta una puntuación alarmante de 9.1 sobre 10 en la escala de severidad CVSS. Esta situación exige una atención inmediata, ya que puede poner en riesgo la integridad de los sistemas afectados y comprometer la información de usuarios y organizaciones que utilizan este plugin para gestionar cursos en línea.

Desde un punto de vista técnico, la vulnerabilidad se origina en una falta de verificación de capacidades en la función `delete_question_answer()`, que afecta a todas las versiones del plugin hasta la 4.3.2.8. Esta función es susceptible a la eliminación no autorizada de datos, lo que permite a atacantes no autenticados eliminar cualquier opción de respuesta de un cuestionario. El problema radica en que el plugin expone un nonce de `wp_rest` en el HTML público (`lpData`), accesible para visitantes no autenticados, y utiliza este nonce como la única barrera de seguridad para el despachador AJAX `lp-load-ajax`. Dado que la acción `delete_question_answer` carece de un control de capacidades o de propiedad, los atacantes pueden enviar una solicitud POST fabricada con un nonce disponible públicamente, logrando así eliminar respuestas a preguntas de forma arbitraria.

Esta vulnerabilidad está clasificada como CWE-862, lo que indica una debilidad específica en el software que permite la falta de control en las acciones de los usuarios. El vector de ataque se clasifica como NETWORK, lo que significa que puede ser explotado a través de la red, y su complejidad de ataque se considera baja, facilitando aún más su explotación. No se requieren privilegios específicos ni interacciones del usuario para llevar a cabo el ataque, lo que amplifica el riesgo.

La puntuación de 9.1 en la escala CVSS sitúa esta vulnerabilidad en la categoría crítica, donde las vulnerabilidades que superan 9.0 representan un riesgo significativo, generalmente permitiendo la ejecución remota de código, la escalada de privilegios o el compromiso total del sistema. Este tipo de vulnerabilidades son especialmente preocupantes para las organizaciones, ya que pueden ser el punto de entrada para ataques más sofisticados que comprometan sistemas enteros.

Para los administradores de sistemas, es crucial actuar de manera proactiva. Se recomienda encarecidamente que todas las organizaciones que utilicen el plugin LearnPress apliquen los parches de seguridad disponibles de forma inmediata. Además, deben revisar sus sistemas en busca de indicadores de compromiso y monitorizar el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

Para obtener más información técnica y los parches correspondientes, los administradores pueden consultar las siguientes referencias:

- [AbstractAjax.php](https://plugins.trac.wordpress.org/browser/learnpress/trunk/inc/Ajax/AbstractAjax.php#L33) - [EditQuestionAjax.php](https://plugins.trac.wordpress.org/browser/learnpress/trunk/inc/Ajax/EditQuestionAjax.php#L285) - [class-lp-assets.php](https://plugins.trac.wordpress.org/browser/learnpress/trunk/inc/class-lp-assets.php#L177)

El descubrimiento de CVE-2026-4365 subraya la relevancia de la seguridad en el desarrollo de plugins para plataformas populares como WordPress. La historia reciente en el ámbito de la ciberseguridad ha demostrado que los atacantes son cada vez más ingeniosos y capaces de explotar vulnerabilidades en software ampliamente utilizado. Este incidente no solo pone de manifiesto la necesidad de mantener los sistemas actualizados, sino también de implementar prácticas de desarrollo seguras que incluyan revisiones de código y pruebas de seguridad regulares para evitar que se produzcan este tipo de brechas en el futuro.

◢ VULNERABILIDADES ◣

CVE-2026-4365: Vulnerabilidad Crítica Detectada (CVSS 9.1)

⟫ 15/04/2026 ⟫ NVD/NIST
Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-4365, que cuenta con una puntuación CVSS de 9.1/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The LearnPress plugin for WordPress is vulnerable to unauthorized data deletion due to a missing capability check on the `delete_question_answer()` function in all versions up to, and including, 4.3.2.8. The plugin exposes a `wp_rest` nonce in public frontend HTML (`lpData`) to unauthenticated visitors, and uses that nonce as the only security gate for the `lp-load-ajax` AJAX dispatcher. The `delete_question_answer` action has no capability or ownership check. This makes it possible for unauthenticated attackers to delete any quiz answer option by sending a crafted POST request with a publicly available nonce. La vulnerabilidad está clasificada como CWE-862, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.1, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://plugins.trac.wordpress.org/browser/learnpress/trunk/inc/Ajax/AbstractAjax.php#L33 https://plugins.trac.wordpress.org/browser/learnpress/trunk/inc/Ajax/EditQuestionAjax.php#L285 https://plugins.trac.wordpress.org/browser/learnpress/trunk/inc/class-lp-assets.php#L177 Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD
CVE-2026-4365: Detectada Vulnerabilidad Crítica (CVSS 9.1) | Ciberseguridad - NarcoObservatorio