The HEL Online Classroom: AI-powered Online Classrooms plugin for WordPress is vulnerable to Missing Authorization in all versions up to, and including, 1.0.3. This is due to a missing capability check on a REST API endpoint registered with a permission_callback of '__return_true', which bypasses all WordPress authentication and authorization checks. This makes it possible for unauthenticated attackers to delete any classroom record by supplying its ID in the request, resulting in permanent data loss.
The HEL Online Classroom WordPress plugin contains a missing authorization vulnerability in its REST API endpoint that allows unauthenticated attackers to delete classroom records. This vulnerability affects all versions up to 1.0.3 and could result in permanent data loss for educational institutions using the plugin.
يفتقد مكون HEL Online Classroom لـ WordPress إلى فحص التفويض على نقطة نهاية REST API مما يسمح للمهاجمين غير المصرح لهم بحذف سجلات الفصول الدراسية باستخدام معرف الفصل. تؤثر هذه الثغرة على جميع الإصدارات حتى 1.0.3 وتؤدي إلى فقدان دائم للبيانات التعليمية.
يحتوي مكون HEL Online Classroom لـ WordPress على ثغرة تفويض مفقودة في نقطة نهاية REST API الخاصة به تسمح للمهاجمين غير المصرح لهم بحذف سجلات الفصول الدراسية. تؤثر هذه الثغرة على جميع الإصدارات حتى 1.0.3 وقد تؤدي إلى فقدان البيانات الدائم للمؤسسات التعليمية التي تستخدم المكون.
Update the HEL Online Classroom plugin to version 1.0.4 or later immediately. Implement proper capability checks on all REST API endpoints by replacing '__return_true' with appropriate permission callbacks. Disable the plugin if an update is unavailable and consider using alternative classroom management solutions.
قم بتحديث مكون HEL Online Classroom إلى الإصدار 1.0.4 أو أحدث على الفور. قم بتنفيذ فحوصات القدرات المناسبة على جميع نقاط نهاية REST API بدلاً من '__return_true' باستخدام رموز تفويض مناسبة. قم بتعطيل المكون إذا لم يكن التحديث متاحاً وفكر في استخدام حلول إدارة الفصول الدراسية البديلة.