Уязвимость функции erase_tutor_data() плагина Tutor LMS системы управления содержимым сайта WordPress связана с подделкой межсайтовых запросов в результате некорректной проверки значения одноразового кода nonce. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку
Обновление программного обеспечения до версии 2.6.2 или выше:
https://wordpress.org/plugins/tutor/
https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3049105%40tutor&new=3049105%40tutor&sfp_email=&sfph_mail=
https://plugins.trac.wordpress.org/browser/tutor/trunk/classes/Admin.php#L465
| Балл | 5 — средняя опасность |