A Tutor LMS Pro WordPress pluginben felfedezett kritikus sérülékenység komoly aggodalmakat vet fel a weboldalak biztonságával kapcsolatban. Ez a népszerű bővítmény, amelyet online tanfolyamok létrehozására használnak, egy 8.8-as súlyossági szintet kapott a 10-es skálán. A problémát a felhasználó által megadott adatok nem megfelelő kezelése okozza, amely lehetővé teszi, hogy a támadók SQL kódot injektáljanak a WordPress adatbázis lekérdezéseibe. Az érintett verziók közé tartozik az összes, amely 3.7.0-ig terjed. A sérülékenység részletei A Tutor LMS Pro plugin a `get_submitted_assignments()` funkcióban található `order` paramétert érinti. A Wordfence biztonsági figyelmeztetése szerint a felhasználók által megadott paraméterek nem elégségesen vannak escape-elve, ami lehetővé teszi a támadók számára, hogy SQL injekciós támadást végezzenek. A támadók…