CVE-2024-1503 in Tutor LMS Pluginthông tin

Tóm tắt

Bởi VulDB • 13/06/2026

Plugin giải pháp eLearning và khóa học trực tuyến Tutor LMS dành cho WordPress có lỗ hổng Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 2.6.1 trở về trước, bao gồm cả phiên bản 2.6.1. Nguyên nhân là do thiếu hoặc xác thực nonce không chính xác trong hàm `erase_tutor_data()`. Điều này cho phép kẻ tấn công chưa được xác thực vô hiệu hóa plugin và xóa toàn bộ dữ liệu thông qua một yêu cầu giả mạo (forged request), miễn là chúng có thể lừa quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết. Việc này đòi hỏi tùy chọn "Erase upon uninstallation" (Xóa khi gỡ cài đặt) phải được bật.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

14/02/2024

Tiết lộ

21/03/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00220

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!