Tutor LMS – eLearning and online course solution <= 3.8.3 - Missing Authorization to Unauthenticated Payment Status Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Tutor LMS, que afecta a versiones hasta la 3.8.3. Esta falla permite a usuarios no autenticados actualizar el estado de pagos, lo que podría comprometer la integridad del sistema de gestión de cursos.

Contexto técnico

La vulnerabilidad se presenta en el proceso de actualización del estado de pagos, donde no se requiere autenticación adecuada. Esto permite que cualquier usuario, sin necesidad de estar registrado, pueda realizar cambios en la información de pagos, afectando la lógica de control de acceso del plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes no autenticados manipular el estado de los pagos. Esto podría llevar a pérdidas económicas para la plataforma y afectar la confianza de los usuarios en el sistema de gestión de cursos.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas para modificar el estado de los pagos sin necesidad de autenticarse, lo que les permite alterar la información de forma encubierta.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tutor LMS a la versión 3.9.0 o superior. Además, se sugiere revisar y reforzar las políticas de autenticación y autorización en el sistema.

Señales de detección

Se deben monitorizar los registros de acceso y las solicitudes de actualización de estado de pagos para detectar patrones inusuales, como intentos de acceso no autenticados o cambios en el estado de pagos desde direcciones IP sospechosas.

Alcance afectado

Las versiones del plugin Tutor LMS hasta la 3.8.3 están afectadas por esta vulnerabilidad, por lo que todas las instalaciones que utilicen estas versiones son susceptibles al problema.