CVE-2024-1503 in Tutor LMS Plugin
Tóm tắt
Bởi VulDB • 13/06/2026
Plugin giải pháp eLearning và khóa học trực tuyến Tutor LMS dành cho WordPress có lỗ hổng Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 2.6.1 trở về trước, bao gồm cả phiên bản 2.6.1. Nguyên nhân là do thiếu hoặc xác thực nonce không chính xác trong hàm `erase_tutor_data()`. Điều này cho phép kẻ tấn công chưa được xác thực vô hiệu hóa plugin và xóa toàn bộ dữ liệu thông qua một yêu cầu giả mạo (forged request), miễn là chúng có thể lừa quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết. Việc này đòi hỏi tùy chọn "Erase upon uninstallation" (Xóa khi gỡ cài đặt) phải được bật.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.