Tutor LMS – eLearning and online course solution <= 3.9.3 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Coupon Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Tutor LMS, que permite a usuarios autenticados con rol de suscriptor o superior modificar cupones de forma arbitraria. Esta vulnerabilidad, catalogada como de severidad media, afecta a las versiones hasta la 3.9.3 del plugin.

Contexto técnico

El fallo se origina en una falta de autorización adecuada en el manejo de cupones dentro del plugin Tutor LMS. Esto permite que usuarios con permisos limitados puedan realizar modificaciones no autorizadas, lo que representa un riesgo en la gestión de descuentos y promociones.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados manipular cupones, lo que podría resultar en pérdidas económicas para el negocio y afectar la integridad del sistema de gestión de cursos online.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a funciones del plugin que deberían estar restringidas, utilizando sus credenciales de usuario autenticado para realizar cambios en los cupones sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tutor LMS a la versión 3.9.4 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar políticas de acceso más estrictas para los roles de suscriptor y superiores.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en los cupones, accesos inusuales a funciones administrativas del plugin y reportes de usuarios que experimentan descuentos no aplicados correctamente.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Tutor LMS hasta la 3.9.3. La vulnerabilidad fue corregida en la versión 3.9.4, publicada el 8 de enero de 2026.