Faille de sécurité WordPress avec Tutor LMS
Une faille dans le plugin "Tutor LMS" a permis à des pirates de prendre le contrôle de plus de 20 000 sites WordPress.
Tutor LMS permet de créer et vendre des cours en ligne. Il permet, entre autres, de créer des quizz stimulants et amusants, des leçons interactives, des rapports et des statistiques sur les apprenants.
Plusieurs failles ont été identifiées : elles permettent à des utilisateurs enregistrés d'exécuter des requêtes SQL. En conséquence, des utilisateurs malveillants ont pu accéder à toutes les informations stockées dans la base de données. Ils ont également pu modifier leurs droits pour devenir administrateurs.
La faille a été corrigée le 30 décembre 2020. Nous vous recommendons de mettre à jour le plugin immédiatement.