Tutor LMS <= 1.8.7 - Authenticated Local File Inclusion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inclusión local de archivos autenticada en el plugin Tutor LMS, que afecta a las versiones hasta la 1.8.7. Esta vulnerabilidad podría permitir a un atacante acceder a archivos sensibles del servidor.

Contexto técnico

La vulnerabilidad se clasifica como una inclusión local de archivos (LFI), lo que permite a un usuario autenticado manipular la carga de archivos en el servidor. Esto se produce debido a una validación insuficiente de las entradas, lo que abre la puerta a la exposición de archivos internos.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS de 5.5. Si se explota, podría comprometer datos sensibles y la integridad del sistema, lo que afectaría la confianza del usuario y podría resultar en sanciones regulatorias.

Vector de explotación

Normalmente, la explotación de esta vulnerabilidad se realiza mediante la manipulación de parámetros en las solicitudes del plugin, lo que permite a un atacante autenticado incluir archivos del sistema que no deberían ser accesibles.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tutor LMS a la versión 1.8.8 o superior. Además, es aconsejable revisar las configuraciones de seguridad y realizar auditorías de acceso a archivos.

Señales de detección

Las señales de posible explotación incluyen accesos inusuales a archivos del sistema, intentos de carga de archivos no autorizados y cambios en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.8.8 del plugin Tutor LMS, lo que incluye la 1.8.7 y anteriores.