CVE-2026-6080

Name of the Vulnerable Software and Affected Versions Tutor LMS versões anteriores a 3.9.9

Description O plugin Tutor LMS para WordPress contém uma falha de SQL Injection. Isso ocorre porque o parâmetro date não é suficientemente escapado e é interpolado diretamente em um fragmento SQL antes de ser processado pela função wpdb->prepare(). Atacantes autenticados com nível de acesso Administrador ou superior podem explorar isso para anexar consultas SQL adicionais e extrair dados sensíveis do banco de dados.

Recommendations Atualize o plugin para uma versão posterior a 3.9.8. Como medida paliativa temporária, restrinja o acesso à funcionalidade que utiliza o parâmetro date para minimizar o risco de exploração.