ГлавнаяБаза уязвимостей БДУ → BDU:2024-03355
5средняя

BDU:2024-03355

Уязвимость функции erase_tutor_data() плагина Tutor LMS системы управления содержимым сайта WordPress, позволяющая нарушителю осуществить CSRF-атаку
Опубликовано: 2024-04-30
Описание

Уязвимость функции erase_tutor_data() плагина Tutor LMS системы управления содержимым сайта WordPress связана с подделкой межсайтовых запросов в результате некорректной проверки значения одноразового кода nonce. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку

Затрагиваемое ПО и версии
Tutor LMS (до 2.6.1 включительно)
Способ устранения

Обновление программного обеспечения до версии 2.6.2 или выше:
https://wordpress.org/plugins/tutor/
https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3049105%40tutor&new=3049105%40tutor&sfp_email=&sfph_mail=
https://plugins.trac.wordpress.org/browser/tutor/trunk/classes/Admin.php#L465

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/tutor/tutor-lms-elearning-and-online-course-solution-261-cross-site-request-forgery-to-plugin-deactivation-and-data-erasehttps://vuldb.com/?id.256502
Проверьте безопасность своего сайта и почты → Полная проверка домена