CVE-2024-10400

ALT (7,5)

CVSS3: 0,0

El connector Tutor LMS per a WordPress és vulnerable a la injecció SQL mitjançant el paràmetre “rating_filter” en totes les versions fins a la 2.7.6 inclosa a causa d’una escapada insuficient del paràmetre subministrat per l’usuari i de la manca de preparació suficient per a la consulta SQL existent. Això fa possible que els atacants no autenticats puguin afegir consultes SQL addicionals a consultes ja existents que es poden utilitzar per extreure informació delicada de la base de dades.

Sistemes Afectats

• themeum Tutor LMS – eLearning and online course solution

Remediació
No hi ha cap recurs disponible a partir del 21 de novembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/bcf37d4e-e94a-4046-9949-c208e4e70197?source=cve
• https://plugins.trac.wordpress.org/changeset/3186319/tutor