CVE-2026-15022 in Tutor LMS Plugin情報

要約

〜によって VulDB • 2026年07月16日

WordPress用eラーニングおよびオンラインコースソリューションプラグイン「Tutor LMS」には、4.0.0を含むすべてのバージョンにおいて、SQL Injectionの脆弱性が存在します。これは、ユーザー入力のパラメータに対するエスケープ処理が不十分であり、既存のSQLクエリに対して十分な準備(プリペアレーション)が行われていないためです。これにより、カスタムレベル以上のアクセス権を持つ認証済み攻撃者は、追加のSQLクエリを既存のクエリに付加し、データベースから機密情報を抽出することが可能になります。ペイロードは `wp_ajax_tutor_quiz_abandon` ハンドラーを通じてquiz-attempt時に保存されますが、注入されたSQLクエリは、権限のあるユーザーまたはTutor REST APIキー保持者が `/wp-json/tutor/v1/quiz-attempt-details/{id}` エンドポイントを要求した際にのみ実行されるため、これはセカンドオーダー(格納型)インジェクションチェーンとなります。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

Wordfence

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-379490

EPSS

0.00000

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Do you know our Splunk app?

Download it now for free!