CVE-2026-15022 in Tutor LMS Plugin
Сводка
по VulDB • 16.07.2026
В плагине для WordPress Tutor LMS – eLearning and online course solution присутствует уязвимость типа generic SQL Injection через массив ответов на викторину (Stored Quiz Answer Array) во всех версиях вплоть до 4.0.0 включительно из-за недостаточной экранизации параметров, предоставляемых пользователем, и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет атакующим с уровнем доступа «custom» и выше добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных. Полезная нагрузка сохраняется в момент попытки прохождения викторины через обработчик wp_ajax_tutor_quiz_abandon, однако внедренный SQL выполняется только тогда, когда привилегированный пользователь или владелец ключа Tutor REST API запрашивает конечную точку /wp-json/tutor/v1/quiz-attempt-details/{id}, что делает эту уязвимость цепочкой инъекций второго порядка (stored injection).
If you want to get best quality of vulnerability data, you may have to visit VulDB.