Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Tutor LMS Pro – eLearning and online course solution <= 3.8.3 - Authenticated (Subscriber+) Insecure Direct Object Reference to View/Edit Other Assignments en Tutor PRO (Insecure Direct Object Reference (IDOR)) - version 3.9.0

PLUGIN MEDIUM CVE-2025-6639

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Tutor LMS Pro, que afecta a las versiones hasta la 3.8.3. Este fallo permite a usuarios autenticados con rol de suscriptor o superior acceder y editar asignaciones de otros usuarios.

Contexto técnico

La vulnerabilidad se basa en una referencia directa insegura a objetos, lo que permite a los atacantes acceder a recursos que no deberían. Esto ocurre en las funcionalidades de visualización y edición de asignaciones dentro del plugin, exponiendo datos sensibles de otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante manipular o acceder a información de otros usuarios, lo que puede comprometer la integridad de los datos y la confianza en la plataforma de eLearning.

Vector de explotación

Normalmente, la explotación de esta vulnerabilidad se lleva a cabo mediante la manipulación de parámetros en las solicitudes HTTP, permitiendo al atacante acceder a asignaciones ajenas sin autorización adecuada.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Tutor LMS Pro a la versión 3.9.0 o superior. Además, se sugiere revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de posible explotación incluyen accesos no autorizados a datos de asignaciones de otros usuarios y cambios inesperados en las asignaciones que no corresponden al usuario autenticado.

Alcance afectado

Las versiones del plugin Tutor LMS Pro afectadas son todas las anteriores a la 3.9.0, especialmente la 3.8.3 y anteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

tutor-pro

Tutor LMS Pro <= 2.7.2 - Missing Authorization to Authenticated (Subscriber+) Insecure Direct Object Reference

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad