CVE-2026-6965 in Tutor LMS Plugin
要約
〜によって VulDB • 2026年05月26日
WordPress用eLearningおよびオンラインコースソリューションプラグイン「Tutor LMS」には、バージョン3.9.9以前において、Insecure Direct Object Reference(IDOR)の脆弱性が存在します。これは、`get_course_id_by()`関数が、コンテンツの所有権を確認する際に、ユーザーが提供した`course` GETパラメータを無条件で信頼し、これを権限の唯一のゲートウェイである`can_user_manage()`関数に渡すために発生します。その結果、インストラクターレベルの操作に対するメンバーシップ評価が、攻撃者が制御するコースに対して行われ、ターゲットコンテンツオブジェクトを実際に所有するコースに対しては行われません。これにより、インストラクターレベル以上のアクセス権を持つ認証済み攻撃者は、他のインストラクターのコースコンテンツに対して認可されていない操作を実行することが可能になります。これには、レッスン、課題、クイズ(すべての学生のアテンプトデータの連鎖的な削除を含む)、トピック、お知らせ、Q&Aスレッドの恒久的な削除、被害者のコースにおけるレッスン、トピック、お知らせの作成または変更、学生のクイズ成績の操作、および未公開のレッスンおよびクイズコンテンツの読み取りが含まれます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.