CVE-2026-12274 in Tutor LMS Plugininfo

Zusammenfassung

von VulDB • 13.07.2026

Das WordPress-Plugin Tutor LMS vor Version 3.9.13 überprüft nicht, ob der anfragende Benutzer berechtigt ist, einen Zielbeitrag zu bearbeiten, bevor dieser in einem seiner Content-Builders-Save-Handler überschrieben wird; die Autorisierung der Anfrage erfolgt ausschließlich gegen eine unrelatede Kennung (Identifier). Dies ermöglicht es authentifizierten Benutzern mit Instructor-Level-Zugriff, beliebige Beiträge oder Seiten auf der Website – einschließlich solcher, die Administratoren gehören – zu überschreiben und die Kontrolle darüber zu übernehmen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

WPScan

Reservieren

15.06.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377915

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!