Tutor LMS – eLearning and online course solution <= 2.7.1 - Authenticated (Instructor+) Insecure Direct Object Reference to Arbitrary Quiz Attempt Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Tutor LMS, que permite a usuarios autenticados con rol de instructor eliminar intentos de cuestionarios de manera insegura. Esta vulnerabilidad afecta a las versiones hasta la 2.7.1 y ha sido corregida en la versión 2.7.2.

Contexto técnico

La vulnerabilidad se origina en una referencia directa a objetos insegura, que permite a los instructores acceder y eliminar intentos de cuestionarios de otros usuarios sin la debida autorización. Esto se produce debido a la falta de controles adecuados en las solicitudes de eliminación.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite a un instructor malintencionado manipular los resultados de los estudiantes, afectando la integridad del sistema de evaluación y la confianza en la plataforma de aprendizaje.

Vector de explotación

La explotación se realiza mediante la modificación de las solicitudes HTTP para apuntar a los identificadores de los intentos de cuestionarios de otros usuarios, lo que permite la eliminación no autorizada de estos registros.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tutor LMS a la versión 2.7.2 o superior. Además, se deben implementar controles de acceso más estrictos para las operaciones de eliminación de objetos.

Señales de detección

Señales que pueden indicar riesgo incluyen registros de intentos de eliminación de cuestionarios por parte de usuarios que no son propietarios de los mismos, así como cambios inesperados en los resultados de los cuestionarios.

Alcance afectado

Las versiones del plugin Tutor LMS hasta la 2.7.1 son las que se ven afectadas por esta vulnerabilidad, lo que incluye todas las instalaciones que no han sido actualizadas a la versión 2.7.2.