Tutor LMS <= 2.7.0 - Lỗ Hổng Bảo Mật 9.8 điểm: Thiếu Xác Thực Nghiêm Trọng

Khám phá lỗ hổng bảo mật nghiêm trọng trong các phiên bản Tutor LMS đến 2.7.0. Tìm hiểu về rủi ro và cập nhật cần thiết.

Tutor LMS Thiếu Xác Thực: Một Lỗi Bảo Mật Nghiêm Trọng

Plugin Tutor LMS cho WordPress tồn tại một lỗ hổng bảo mật nghiêm trọng được xác định trong tất cả các phiên bản lên đến và bao gồm cả 2.7.0. Vấn đề này, được phân loại là CVE-2024-4223, đã được công bố công khai vào ngày 15 tháng 5 năm 2024 với điểm CVSS nghiêm trọng là 9.8.

Mô tả

Lỗ hổng này, do thiếu kiểm tra khả năng, cho phép các kẻ tấn công không xác thực có thể thêm, sửa đổi hoặc xóa dữ liệu. Lỗi này tồn tại trong nhiều chức năng của plugin Tutor LMS, cho phép truy cập trái phép vào dữ liệu, sửa đổi dữ liệu và có thể gây mất dữ liệu.

Tác động

Những ảnh hưởng của lỗ hổng này rất nghiêm trọng, vì nó cho phép thực hiện các hành động sau mà không cần xác thực:

Truy cập Dữ liệu Trái phép: Kẻ tấn công có thể truy cập dữ liệu nhạy cảm mà không cần xác thực.
Sửa đổi Dữ liệu: Kẻ tấn công có thể thay đổi dữ liệu hiện có, dẫn đến thông tin sai lệch và có thể gây ra sự gián đoạn.
Xóa Dữ liệu: Dữ liệu quan trọng có thể bị xóa, gây mất mát dữ liệu đáng kể.

Mức Độ Nghiêm Trọng

Với vector CVSS là CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, lỗ hổng này được phân loại là nghiêm trọng. Vector này cho thấy rằng cuộc tấn công có thể được thực hiện từ xa với độ phức tạp thấp, không yêu cầu quyền hạn hoặc tương tác người dùng, và có ảnh hưởng cao đến tính bảo mật, toàn vẹn và sẵn sàng.

Nhà Nghiên Cứu

Lỗ hổng này được phát hiện và báo cáo bởi nhà nghiên cứu có tên villu164.

Khuyến Nghị

Để giảm thiểu lỗ hổng nghiêm trọng này, người dùng nên cập nhật ngay lập tức plugin Tutor LMS lên phiên bản mới nhất, nơi các vấn đề bảo mật đã được khắc phục. Việc thường xuyên cập nhật và kiểm tra bảo mật là rất quan trọng để bảo vệ các trang WordPress khỏi các lỗ hổng tương tự.

Tham Khảo

Để biết thêm thông tin chi tiết, bạn có thể truy cập plugins.trac.wordpress.org.

Lưu ý: Đảm bảo theo dõi bất kỳ bản cập nhật hoặc bản vá nào do các nhà phát triển plugin phát hành để duy trì bảo mật và tính toàn vẹn cho trang web WordPress của bạn.

Tutor LMS <= 2.7.0 – Lỗ Hổng Bảo Mật 9.8 điểm: Thiếu Xác Thực Nghiêm Trọng

Mô tả

Tác động

Mức Độ Nghiêm Trọng

Nhà Nghiên Cứu

Khuyến Nghị

Tham Khảo

Related

Viết một bình luận Hủy

Giới thiệu

Recent Posts

Plugin Contact Form by Fluent Forms cho Quiz, Survey và Drag & Drop WP Form Builder <= 5.1.16 – Thiếu Ủy Quyền để Cập Nhật Cài Đặt và Leo Thang Quyền Hạn Hạn Chế (9.8)

Penci Soledad Data Migrator <= 1.3.0 – Lỗi Chèn Tập Tin Cục Bộ Không Xác Thực

Tutor LMS <= 2.7.0 – Lỗ Hổng Bảo Mật 9.8 điểm: Thiếu Xác Thực Nghiêm Trọng

OpenAI Khởi Động Mùa Xuân Với GPT-4o và Ứng Dụng Máy Tính Mới

Lỗ hổng 9.9 điểm trong Plugin WooCommerce Amazon Affiliates cho phép SQL Injection

Lỗ hổng nghiêm trọng 9.8 điểm trong Plugin Hotel Booking Lite của WordPress cho phép tiêm Object PHP

Phát hiện lỗ hổng 9.8 điểm SQL Injection nghiêm trọng trong Plugin LearnPress cho WordPress

Lỗ hổng bảo mật 9.8 Critical nghiêm trọng trong theme Porto cho WordPress

Lỗ hổng SQL Injection 9.9 cực nghiêm trọng trong plugin Shipment Tracking, Tracking, and Order Tracking for WooCommerce – ParcelPanel

Hướng Dẫn Thay Đổi Domain Website Trên Google Search Console