Tutor LMS Pro <= 2.7.0 - Missing Authorization to SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Tutor LMS Pro, que permite la inyección SQL debido a una falta de autorización. Esta falla afecta a las versiones hasta la 2.7.0 y puede comprometer la seguridad de las bases de datos de los sitios afectados.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en ciertas funciones del plugin. Esto permite a un atacante ejecutar consultas SQL maliciosas, lo que puede llevar a la exposición o manipulación de datos sensibles almacenados en la base de datos del sitio.

Impacto potencial

El impacto de esta vulnerabilidad es alto, ya que puede permitir a un atacante acceder a información crítica del negocio, modificar datos y potencialmente tomar el control del sitio. Esto podría resultar en pérdidas financieras y daños a la reputación de la organización.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que omiten los controles de autorización, permitiendo la ejecución de comandos SQL no autorizados.

Mitigación recomendada

Se recomienda actualizar el plugin Tutor LMS Pro a la versión 2.7.1 o superior de inmediato. Además, se deben revisar los registros de acceso y las consultas SQL para detectar cualquier actividad sospechosa.

Señales de detección

Señales de riesgo incluyen solicitudes inusuales o no autorizadas en las funciones del plugin, así como registros de errores relacionados con consultas SQL fallidas.

Alcance afectado

Las versiones del plugin Tutor LMS Pro hasta la 2.7.0 están afectadas. Las instalaciones que no hayan actualizado a la versión 2.7.1 o superior son vulnerables.