Tutor LMS – eLearning and online course solution <= 3.9.3 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Course Completion

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Tutor LMS, que afecta a las versiones hasta la 3.9.3. Esta vulnerabilidad permite a los usuarios autenticados con rol de suscriptor o superior completar cursos de manera arbitraria.

Contexto técnico

El fallo se origina por la falta de autorización adecuada en el proceso de finalización de cursos. Esto permite que usuarios no autorizados, que tienen acceso al sistema, puedan manipular el estado de los cursos sin la debida validación de permisos.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la manipulación de registros de aprendizaje, afectando la integridad de los datos educativos y potencialmente dañando la reputación de la plataforma. Además, puede inducir a errores en la evaluación del progreso de los estudiantes.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a la API del plugin para marcar cursos como completados, sin tener los permisos necesarios para hacerlo.

Mitigación recomendada

Se recomienda actualizar el plugin Tutor LMS a la versión 3.9.4 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar los roles y permisos asignados a los usuarios en el sistema.

Señales de detección

Señales de posible explotación incluyen registros de actividades inusuales donde usuarios con rol de suscriptor marcan cursos como completados sin haber realizado la actividad correspondiente.

Alcance afectado

Las versiones del plugin Tutor LMS hasta la 3.9.3 están afectadas. Las instalaciones que ejecutan estas versiones deben ser consideradas en riesgo.