The Tutor LMS plugin for WordPress is vulnerable to SQL Injection in versions up to and including 3.9.8. This is due to insufficient escaping on the 'date' parameter combined with direct interpolation into a SQL fragment before being passed to $wpdb->prepare(). This makes it possible for authenticated attackers with Admin-level access and above to append additional SQL queries and extract sensitive information from the database.
Tutor LMS WordPress plugin versions up to 3.9.8 contain a SQL injection vulnerability in the 'date' parameter that allows authenticated admin-level attackers to execute arbitrary SQL queries. Attackers can exploit insufficient escaping to extract sensitive database information from affected WordPress installations.
تحتوي إضافة Tutor LMS للإصدارات حتى 3.9.8 على ثغرة حقن SQL في معامل 'التاريخ' بسبب عدم كفاية الهروب والاستيفاء المباشر في جزء SQL. يمكن للمهاجمين المصرح لهم على مستوى المسؤول استخراج المعلومات الحساسة من قاعدة البيانات.
Tutor LMS WordPress plugin versions up to 3.9.8 contain a SQL injection vulnerability in the 'date' parameter that allows authenticated admin-level attackers to execute arbitrary SQL queries. Attackers can exploit insufficient escaping to extract sensitive database information from affected WordPress installations.
Update Tutor LMS plugin to version 3.9.9 or later immediately. Restrict admin-level access to trusted users only. Implement Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Monitor database logs for suspicious queries. Apply principle of least privilege for database user accounts.
قم بتحديث إضافة Tutor LMS إلى الإصدار 3.9.9 أو أحدث فوراً. قيد الوصول على مستوى المسؤول للمستخدمين الموثوقين فقط. طبق قواعد جدار حماية تطبيقات الويب للكشف عن محاولات حقن SQL. راقب سجلات قاعدة البيانات للاستعلامات المريبة. طبق مبدأ الحد الأدنى من الامتيازات لحسابات مستخدمي قاعدة البيانات.