Tutor LMS <= 3.9.3 - Missing Authorization to Authenticated (Subscriber+) Sensitive Information Exposure via tutor_order_details (falta de autorizacion) - version 3.9.4

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Tutor LMS, que permite la exposición de información sensible a usuarios autenticados con rol de suscriptor o superior. Esta falla afecta a las versiones hasta la 3.9.3 y ha sido corregida en la versión 3.9.4.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para acceder a detalles de pedidos dentro del plugin Tutor LMS. Esto permite que usuarios con permisos limitados accedan a información que debería estar restringida, aumentando la superficie de ataque.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que puede comprometer información sensible de los usuarios y afectar la confianza en la plataforma. Esto podría derivar en problemas de reputación y posibles implicaciones legales.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante la manipulación de solicitudes HTTP por parte de usuarios autenticados, lo que les permite acceder a información restringida sin los permisos adecuados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tutor LMS a la versión 3.9.4 o superior. Además, se sugiere revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a información de pedidos por parte de usuarios con rol de suscriptor, así como registros de actividad inusual en el sistema.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.9.4 del plugin Tutor LMS.