PT-2021-15785 · WordPress · The Tutor Lms

Asa

Publicado

2021-04-22

Atualizado

2021-04-30

CVE-2021-24242

CVSS v2.0

5.5

Média

Vetor

AV:N/AC:L/Au:S/C:P/I:P/A:N

Nome do software vulnerável e versões afetadas

O plugin para WordPress “The Tutor LMS – solução de e-learning e cursos online”, versões anteriores à 1.8.8

Descrição

Uma vulnerabilidade de inclusão de arquivo local afeta o plugin, permitindo que usuários com privilégios elevados incluam qualquer arquivo PHP local por meio de um parâmetro sub page maliciosamente criado na seção Ferramentas do plugin.

Recomendações

Para versões anteriores à 1.8.8, atualize para a versão 1.8.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à seção Ferramentas do plugin para minimizar o risco de exploração. Evite usar o parâmetro sub page nas Ferramentas do plugin afetado até que o problema seja resolvido.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

CVE-2021-24242

Produtos afetados

The Tutor Lms

PT-2021-15785 · WordPress · The Tutor Lms

CVE-2021-24242

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3