Tutor LMS – Migration Tool <= 2.2.0 - Missing Authorization in tutor_import_from_xml

Resumen ejecutivo

Se ha detectado una vulnerabilidad de autorización en el plugin Tutor LMS – Migration Tool, que afecta a las versiones anteriores a la 2.2.1. Esta falla permite potencialmente a usuarios no autorizados realizar importaciones desde archivos XML.

Contexto técnico

El fallo se origina por una falta de verificación de permisos en la función 'tutor_import_from_xml', lo que permite que cualquier usuario, sin las credenciales adecuadas, pueda ejecutar procesos de importación. Esto aumenta la superficie de ataque al permitir la manipulación de datos sin control.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad de los datos del sitio, permitiendo que un atacante no autorizado importe contenido malicioso o no deseado, lo que podría afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes maliciosas a la función de importación sin las credenciales necesarias, aprovechando la falta de controles de acceso.

Mitigación recomendada

Actualizar el plugin Tutor LMS – Migration Tool a la versión 2.2.1 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales en el entorno de WordPress.

Señales de detección

Señales de riesgo incluyen registros de importaciones no autorizadas o intentos de acceso a la función de importación desde cuentas que no deberían tener acceso.

Alcance afectado

Las versiones del plugin Tutor LMS – Migration Tool anteriores a la 2.2.1 son las que presentan esta vulnerabilidad. Es crucial verificar todas las instalaciones que utilicen este plugin.