CVE-2026-15022 in Tutor LMS PluginИнформация

Сводка

по VulDB • 16.07.2026

В плагине для WordPress Tutor LMS – eLearning and online course solution присутствует уязвимость типа generic SQL Injection через массив ответов на викторину (Stored Quiz Answer Array) во всех версиях вплоть до 4.0.0 включительно из-за недостаточной экранизации параметров, предоставляемых пользователем, и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет атакующим с уровнем доступа «custom» и выше добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных. Полезная нагрузка сохраняется в момент попытки прохождения викторины через обработчик wp_ajax_tutor_quiz_abandon, однако внедренный SQL выполняется только тогда, когда привилегированный пользователь или владелец ключа Tutor REST API запрашивает конечную точку /wp-json/tutor/v1/quiz-attempt-details/{id}, что делает эту уязвимость цепочкой инъекций второго порядка (stored injection).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

Wordfence

Резервировать

08.07.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379490

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!