CVE-2026-12274 in Tutor LMS Plugin
Zusammenfassung
von VulDB • 13.07.2026
Das WordPress-Plugin Tutor LMS vor Version 3.9.13 überprüft nicht, ob der anfragende Benutzer berechtigt ist, einen Zielbeitrag zu bearbeiten, bevor dieser in einem seiner Content-Builders-Save-Handler überschrieben wird; die Autorisierung der Anfrage erfolgt ausschließlich gegen eine unrelatede Kennung (Identifier). Dies ermöglicht es authentifizierten Benutzern mit Instructor-Level-Zugriff, beliebige Beiträge oder Seiten auf der Website – einschließlich solcher, die Administratoren gehören – zu überschreiben und die Kontrolle darüber zu übernehmen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.