Tutor LMS <= 2.7.4 - Cross-Site Request Forgery via 'addon_enable_disable'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Tutor LMS, que afecta a las versiones hasta la 2.7.4. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario legítimo.

Contexto técnico

La vulnerabilidad se encuentra en la funcionalidad 'addon_enable_disable' del plugin Tutor LMS. Un atacante puede aprovechar esta debilidad para enviar solicitudes maliciosas que el servidor puede interpretar como válidas, comprometiendo la integridad de la aplicación.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar acciones no autorizadas que pueden afectar tanto a la seguridad de la plataforma como a la experiencia del usuario. Esto podría resultar en la modificación de configuraciones o la manipulación de datos críticos.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante el envío de solicitudes maliciosas a través de formularios o enlaces manipulados, engañando a los usuarios para que realicen acciones sin su conocimiento.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Tutor LMS a la versión 2.7.5 o superior. Además, es aconsejable implementar medidas de seguridad adicionales, como la validación de tokens CSRF en formularios y la revisión de permisos de usuario.

Señales de detección

Señales que pueden indicar un intento de explotación incluyen solicitudes inusuales en los registros del servidor que intentan acceder a la funcionalidad 'addon_enable_disable', así como cambios inesperados en la configuración del plugin.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones del plugin Tutor LMS en versiones anteriores a la 2.7.5. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión actual.