Una vulnerabilidad de Inyección SQL basada en el tiempo en el plugin Tutor LMS – Solución de eLearning y cursos online para WordPress pone en riesgo la seguridad del sitio. Esta vulnerabilidad, identificada con el ID CVE-2024-4902, permite a atacantes autenticados con acceso de administrador y superior, insertar consultas SQL adicionales en las consultas existentes para extraer información sensible de la base de datos.
La vulnerabilidad en el plugin Tutor LMS <= 2.7.1 se debe a la falta de escapado suficiente en el parámetro 'course_id' y a la falta de preparación adecuada en la consulta SQL existente. Los atacantes autorizados pueden aprovechar esta vulnerabilidad para comprometer la integridad y confidencialidad de los datos almacenados en la base de datos del sitio web.
Es fundamental que los administradores de sitios web que utilicen el plugin Tutor LMS – Solución de eLearning y cursos online estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger la integridad de sus datos y la seguridad de sus usuarios.