CVE-2026-6965 in Tutor LMS Plugin
Resumen
por VulDB • 2026-05-20
El plugin Tutor LMS – eLearning and online course solution para WordPress es vulnerable a una Referencia Directa a Objetos Insegura (IDOR) en las versiones 3.9.9 y anteriores. Esto se debe a que la función `get_course_id_by()` confía incondicionalmente en el parámetro GET `course` proporcionado por el usuario como el ID de curso autoritativo para las búsquedas de propiedad del contenido, el cual es consumido posteriormente por `can_user_manage()`, el único mecanismo de autorización del plugin para las operaciones a nivel de instructor. Esto provoca que se evalúe la membresía del instructor frente al curso controlado por el atacante en lugar del curso que realmente posee el objeto de contenido objetivo. Esto permite a los atacantes autenticados, con acceso a nivel de instructor o superior, realizar operaciones no autorizadas sobre el contenido de los cursos de cualquier otro instructor, incluyendo la eliminación permanente de lecciones, tareas, cuestionarios (con eliminación en cascada de todos los datos de intentos de los estudiantes), temas, anuncios e hilos de preguntas y respuestas, así como la creación o modificación de lecciones, temas y anuncios en los cursos de la víctima, la manipulación de las calificaciones de los cuestionarios de los estudiantes y la lectura de contenido de lecciones y cuestionarios no publicados.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.