Tutor LMS 外掛中修補的幾個漏洞

2020 年 12 月 15 日，Wordfence 的威脅情報團隊負責任地披露了 Tutor LMS 中的幾個漏洞，該漏洞是一個安裝在 20,000 多個站點上的 WordPress 外掛。

前五個缺陷使經過身份驗證的攻擊者有可能在 WordPress 網站上註入並執行任意 SQL 語句。

這使攻擊者可以獲得存儲在站點數據庫中的信息，包括用戶憑據，站點選項和其他敏感信息。剩下的缺陷使經過身份驗證的攻擊者可以執行多種未經授權的操作，例如通過使用各種 AJAX 操作來升級用戶權限並修改課程設置。

Wordfence 最初在 2020 年 12 月 15 日與 Tutor LMS 聯繫，收到了確認在 2020 年 12 月 21 日處理討論的適當收件箱的回复，並在同一天提供了完整的披露詳細信息。

Tutor LMS 僅在一天后就認可了我們的報告，並於 2020 年 12 月 30 日發布了第一批補丁，在進行了一些後續跟進和一些修訂後，該插件的補丁版本已於 2021 年 2 月 16 日發布。

某些已修補的漏洞非常嚴重。因此，強烈建議立即更新到修補程序版本 1.8.3。

詳細說明文件：

https://www.wordfence.com/blog/2021/03/several-vulnerabilities-patched-in-tutor-lms-plugin/