PT-2024-3141 · Tutor Lms · Tutor Lms
Muhammad Hassham Nagori
·
Publicado
2024-02-22
·
Atualizado
2026-02-09
·
CVE-2024-1751
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Tutor LMS até a 2.6.1, inclusive
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à proteção insuficiente da estrutura da consulta SQL ao lidar com o parâmetro
question id. Isso permite que um invasor remoto execute consultas SQL arbitrárias e obtenha acesso não autorizado a informações protegidas. A vulnerabilidade pode ser explorada por invasores autenticados com acesso de assinante ou aluno, ou superior, para extrair informações confidenciais do banco de dados. Estima-se que mais de 80.000 sites WordPress estejam potencialmente afetados.Recomendações
Para versões até a 2.6.1, inclusive, atualize para uma versão que inclua uma correção para este problema.
Como solução temporária, considere restringir o acesso ao parâmetro
question id no endpoint da API afetado até que um patch esteja disponível.Restrinja o acesso ao banco de dados para minimizar o risco de exploração.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tutor Lms