Tutor LMS <= 2.2.0 - Missing Authorization via REST API

Resumen ejecutivo

Se ha identificado una vulnerabilidad de alta gravedad en el plugin Tutor LMS, que afecta a las versiones hasta la 2.2.0. Esta vulnerabilidad permite la falta de autorización a través de la API REST, lo que puede comprometer la seguridad del sitio.

Contexto técnico

El fallo radica en la ausencia de controles de autorización adecuados en la API REST del plugin Tutor LMS. Esto permite que usuarios no autenticados accedan a funciones que deberían estar restringidas, potencialmente exponiendo datos sensibles o funciones críticas del sistema.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante realizar acciones no autorizadas en el sitio, lo que podría resultar en la alteración de datos, la exposición de información sensible y, en última instancia, la pérdida de confianza por parte de los usuarios y clientes.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la API REST del plugin, sin necesidad de autenticación, lo que les permite ejecutar funciones restringidas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tutor LMS a la versión 2.2.1 o superior. Además, es aconsejable revisar las configuraciones de la API REST y aplicar controles de acceso adicionales donde sea necesario.

Señales de detección

Señales de explotación pueden incluir registros de acceso inusuales a la API REST, intentos de ejecución de funciones restringidas por parte de usuarios no autenticados y cambios inesperados en los datos del sistema.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.2.1 del plugin Tutor LMS. Los sitios que utilizan estas versiones están en riesgo y deben ser actualizados de inmediato.