PT-2024-30595 · WordPress · Tutor Lms Pro
Villu Orav
+1
·
Publicado
2024-05-15
·
Atualizado
2025-01-22
·
CVE-2024-4351
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Plugin Tutor LMS Pro para o WordPress, versões até a 2.7.0, inclusive
Descrição
A vulnerabilidade permite acesso não autorizado, modificação e perda de dados devido à ausência de uma verificação de permissão na função
authenticate. Isso permite que invasores autenticados com permissões de nível de assinante ou superiores obtenham controle de uma conta de administrador existente.Recomendações
Para versões até a 2.7.0, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função
authenticate, a fim de impedir o acesso não autorizado e a modificação de dados.Como solução temporária, considere restringir o acesso à função
authenticate até que um patch esteja disponível.Correção
Missing Authorization
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tutor Lms Pro