Tutor LMS <= 3.9.5 - Insecure Direct Object Reference to Authenticated (Instructor+) Arbitrary Course Modification and Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Tutor LMS que permite la modificación y eliminación arbitraria de cursos por parte de usuarios autenticados con rol de instructor. Esta vulnerabilidad, clasificada como IDOR, tiene un CVSS de 8.1.

Contexto técnico

La vulnerabilidad se origina en una referencia directa a objetos insegura (IDOR) que permite a los instructores acceder y manipular datos de cursos que no deberían estar a su alcance. Esto se produce debido a una falta de validación adecuada en las solicitudes realizadas al sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a los instructores modificar o eliminar cursos, lo que podría comprometer la integridad de la plataforma educativa y afectar la confianza de los usuarios en el servicio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas que acceden a recursos de cursos de manera no autorizada, lo que les permite realizar cambios no deseados en la plataforma.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tutor LMS a la versión 3.9.6 o superior. Además, se deben implementar controles adicionales de validación de permisos en las solicitudes de modificación de cursos.

Señales de detección

Señales de posible explotación incluyen registros inusuales de acceso a recursos de cursos por parte de usuarios con rol de instructor, así como cambios inesperados en la configuración de cursos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.9.6 del plugin Tutor LMS.