Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03228

Опубликовано: 15 мая 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Средний

Описание

Уязвимость плагина Tutor LMS системы управления содержимым сайта WordPress связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

WordPress Foundation

Наименование ПО

Tutor LMS

Версия ПО

до 2.7.1 (Tutor LMS)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/tutor-pro/tutor-lms-pro-270-missing-authorization-to-privilege-escalation

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.28115
Средний

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-4351

CVSS3: 8.8
nvd
больше 1 года назад

The Tutor LMS Pro plugin for WordPress is vulnerable to unauthorized access of data, modification of data, loss of data due to a missing capability check on the 'authenticate' function in all versions up to, and including, 2.7.0. This makes it possible for authenticated attackers, with subscriber-level permissions and above, to gain control of an existing administrator account.

github логотип

GHSA-2cvr-cjfw-9xmv

CVSS3: 8.8
github
больше 1 года назад

The Tutor LMS Pro plugin for WordPress is vulnerable to unauthorized access of data, modification of data, loss of data due to a missing capability check on the 'authenticate' function in all versions up to, and including, 2.7.0. This makes it possible for authenticated attackers, with subscriber-level permissions and above, to gain control of an existing administrator account.

EPSS

Процентиль: 96%
0.28115
Средний

8.8 High

CVSS3

9 Critical

CVSS2