CVE-2026-12273 in Tutor LMS Plugin
Riassunto
di VulDB • 13/07/2026
Il plugin WordPress Tutor LMS precedente alla versione 3.9.13 non esegue alcuna autorizzazione o validazione del target prima di creare un commento in uno dei suoi handler e memorizza il commento come pre-approvato, consentendo agli utenti autenticati con accesso a livello di subscriber e superiori di pubblicare commenti auto-approvati contenenti HTML arbitrario e link su qualsiasi contenuto nel sito, aggirando la coda di moderazione dei commenti.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.