PT-2024-36265 · WordPress · The Tutor Lms
Thanh Nam Tran
·
Publicado
2024-06-07
·
Atualizado
2024-06-11
·
CVE-2024-5438
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas:
The Tutor LMS – plugin de solução de e-learning e cursos online para o WordPress, versões até a 2.7.1, inclusive
Descrição:
A vulnerabilidade permite que invasores autenticados com acesso de nível de instrutor ou superior excluam tentativas arbitrárias de questionários devido à falta de validação em uma chave controlada pelo usuário na função
attempt delete. Isso é possível devido a uma referência direta a objeto insegura.Recomendações:
Para versões até a 2.7.1, inclusive, atualize para uma versão que inclua uma correção para a falta de validação na função
attempt delete, a fim de impedir a exclusão arbitrária de tentativas de questionários.Como solução temporária, considere restringir o acesso à função
attempt delete para usuários com acesso de nível de instrutor e superior até que um patch esteja disponível.Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Tutor Lms