La vulnerabilidad CVE-2024-1128 afecta al plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress en todas las versiones hasta, e incluyendo, la 2.6.0. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada de HTML en la funcionalidad de Q&A. Esto permite a atacantes autenticados, con acceso de Estudiante y superior, inyectar HTML arbitrario en un sitio, aunque no permite Cross-Site Scripting.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible de Tutor LMS. Además, se recomienda a los administradores del sitio limitar el acceso y los permisos de los roles de usuario para reducir el riesgo de ataques. También se aconseja educar a los usuarios sobre la importancia de no hacer clic en enlaces sospechosos y de no proporcionar información confidencial en sitios no seguros.
Es fundamental que los propietarios de sitios web que utilizan Tutor LMS estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios. La actualización del plugin y la implementación de buenas prácticas de seguridad pueden ayudar a mitigar el riesgo de explotación de esta vulnerabilidad.