Tutor LMS Pro <= 2.7.2 - Missing Authorization to Authenticated (Subscriber+) Insecure Direct Object Reference

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Tutor LMS Pro, que afecta a las versiones hasta la 2.7.2. Esta falla permite a usuarios autenticados con rol de suscriptor acceder a objetos sin la debida autorización.

Contexto técnico

La vulnerabilidad radica en la falta de comprobación de permisos al acceder a ciertos recursos. Esto permite que un usuario autenticado, incluso con privilegios bajos, pueda manipular las solicitudes para acceder a información o funcionalidades restringidas.

Impacto potencial

El impacto puede ser significativo, ya que permite a usuarios no autorizados acceder a datos sensibles o realizar acciones no permitidas, lo que podría comprometer la integridad y confidencialidad de la información del sitio web.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad manipulando las solicitudes HTTP para acceder a recursos que deberían estar protegidos. Esto se puede realizar sin necesidad de un código de explotación específico, simplemente alterando parámetros en las URLs.

Mitigación recomendada

Actualizar el plugin Tutor LMS Pro a la versión 2.7.3 o superior. Además, se recomienda revisar los permisos de los roles de usuario y aplicar prácticas de hardening adicionales en la configuración del sitio.

Señales de detección

Señales de explotación pueden incluir accesos no autorizados a recursos sensibles o un aumento inusual en las solicitudes a endpoints que deberían estar restringidos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.7.3 del plugin Tutor LMS Pro.