漏洞信息
# N/A
## 概述
Tutor LMS 插件存在漏洞,允许未经授权的用户修改数据,具体是由于 `hide_notices` 函数中缺少能力检查,这使得未认证的攻击者可以在禁用了用户注册的站点上启用用户注册。
## 影响版本
所有版本均受影响,直到并且包含 2.6.2 版本。
## 细节
`hide_notices` 函数中的能力检查缺失导致未经授权的用户可以修改数据。攻击者可以利用此漏洞在用户注册被禁用的站点上启用用户注册。
## 影响
此漏洞允许未认证的攻击者在禁用了用户注册的站点上启用用户注册,从而增加潜在的安全风险。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于The Tutor LMS插件的hide_notices函数中,由于缺少必要的权限检查,允许未经过身份验证的攻击者修改用户注册设置,即使该功能原本已被禁用。这直接影响了服务端的数据和设置,因此属于服务端的漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
The Tutor LMS – eLearning and online course solution plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the hide_notices function in all versions up to, and including, 2.6.2. This makes it possible for unauthenticated attackers to enable user registration on sites that may have it disabled.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress plugin Tutor LMS 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Tutor LMS 2.6.2 版本及之前版本存在安全漏洞,该漏洞源于缺少对 hide_notices 函数的功能检查,导致未经授权的数据修改。
CVSS信息
N/A
漏洞类别
其他