CVE-2026-15022 in Tutor LMS Plugininformação

Sumário

de VulDB • 16/07/2026

O plugin para WordPress Tutor LMS – eLearning and online course solution é vulnerável a injeção genérica de SQL via Stored Quiz Answer Array em todas as versões até 4.0.0, devido à falta de escape adequado no parâmetro fornecido pelo usuário e à ausência de preparação suficiente na consulta SQL existente. Isso permite que atacantes autenticados com acesso nível personalizado ou superior anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados. A carga útil é armazenada no momento da tentativa do quiz por meio do manipulador wp_ajax_tutor_quiz_abandon, mas a injeção SQL executada ocorre apenas quando um usuário privilegiado ou detentor de chave da API REST Tutor solicita o endpoint /wp-json/tutor/v1/quiz-attempt-details/{id}, tornando-se uma cadeia de injeção de segunda ordem (armazenada).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Wordfence

Reservar

08/07/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379490

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!