PT-2024-16241 · WordPress · Tutor Lms

1337_Wannabe

Publicado

2024-11-21

Atualizado

2024-11-21

CVE-2024-10393

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Nome do software vulnerável e versões afetadas

Plugin Tutor LMS para o WordPress, versões até a 2.7.6, inclusive

Descrição

O problema se deve à falta de uma verificação da opção users can register na função register instructor, permitindo que invasores não autenticados se registrem com a função padrão no site, mesmo que o registro esteja desativado.

Recomendações

Para versões até a 2.7.6, inclusive, considere desativar a função register instructor até que um patch esteja disponível para impedir o registro de usuários não autorizados.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Access Control

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-862

Identificadores relacionados

CVE-2024-10393

Produtos afetados

Tutor Lms

PT-2024-16241 · WordPress · Tutor Lms

CVE-2024-10393

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5