Tutor LMS 外掛中修補的幾個漏洞
2020 年 12 月 15 日,Wordfence 的威脅情報團隊負責任地披露了 Tutor LMS 中的幾個漏洞,該漏洞是一個安裝在 20,000 多個站點上的 WordPress 外掛。前五個缺陷使經過身份驗證的攻擊者有可能在 WordPress 網站上註入並執行任意 SQL 語句。
這使攻擊者可以獲得存儲在站點數據庫中的信息,包括用戶憑據,站點選項和其他敏感信息。剩下的缺陷使經過身份驗證的攻擊者可以執行多種未經授權的操作,例如通過使用各種 AJAX 操作來升級用戶權限並修改課程設置。
Wordfence 最初在 2020 年 12 月 15 日與 Tutor LMS 聯繫,收到了確認在 2020 年 12 月 21 日處理討論的適當收件箱的回复,並在同一天提供了完整的披露詳細信息。
Tutor LMS 僅在一天后就認可了我們的報告,並於 2020 年 12 月 30 日發布了第一批補丁,在進行了一些後續跟進和一些修訂後,該插件的補丁版本已於 2021 年 2 月 16 日發布。
某些已修補的漏洞非常嚴重。因此,強烈建議立即更新到修補程序版本 1.8.3。
詳細說明文件:
https://www.wordfence.com/blog/2021/03/several-vulnerabilities-patched-in-tutor-lms-plugin/
頁:
[1]