CVE-2026-15022 in Tutor LMS Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WordPress용 eLearning 및 온라인 강좌 솔루션 플러그인인 Tutor LMS는 4.0.0 버전까지 모든 버전에서 SQL Injection 취약점이 존재합니다. 이는 사용자 제공 매개변수에 대한 부적절한 이스케이핑과 기존 SQL 쿼리에 대한 충분한 준비 작업 부재로 인해 발생하는 일반적 SQL Injection입니다. 이를 통해 권한이 있는 공격자(사용자 수준 이상)는 이미 실행 중인 쿼리에 추가적인 SQL 쿼리를 삽입하여 데이터베이스에서 민감한 정보를 추출할 수 있습니다. 페이로는 wp_ajax_tutor_quiz_abandon 핸들러를 통해 퀴즈 시도 시 저장되지만, 주입된 SQL은 권한 있는 사용자나 Tutor REST API 키 보유자가 /wp-json/tutor/v1/quiz-attempt-details/{id} 엔드포인트에 요청하는 경우에만 실행됩니다. 이로 인해 이 취약점은 2차(저장형) Injection 체인으로 분류됩니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 07. 08.

모더레이션

수락

항목

VDB-379490

EPSS

0.00000

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!