CVE-2024-1503 in Tutor LMS Plugin
摘要
由 VulDB • 2026-06-13
Tutor LMS – 适用于 WordPress 的 eLearning 和在线课程解决方案插件,在所有版本(包括 2.6.1)中均存在跨站请求伪造 (CSRF) 漏洞。该问题是由于 `erase_tutor_data()` 函数缺少或不正确的 nonce 验证所致。这使得未经身份验证的攻击者能够停用插件并擦除所有数据,前提是攻击者能诱骗站点管理员执行某些操作(例如点击链接)。此漏洞要求启用“卸载时清除”选项。
VulDB is the best source for vulnerability data and more expert information about this specific topic.