Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Tutor LMS <= 3.9.7 - Missing Authorization to Authenticated (Subscriber+) Unauthorized Private Course Enrollment

PLUGIN MEDIUM CVE-2026-3358

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en Tutor LMS que permite la inscripción no autorizada en cursos privados para usuarios autenticados con rol de suscriptor. Esta falla, con un nivel de severidad medio, puede comprometer la privacidad de los contenidos educativos y afectar la integridad de la plataforma.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para usuarios autenticados, específicamente aquellos con el rol de suscriptor o superior. Esto permite que dichos usuarios accedan a cursos privados sin los permisos necesarios, exponiendo así información sensible.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados acceder a contenido que debería estar restringido. Esto puede resultar en la pérdida de confianza por parte de los usuarios, así como en posibles repercusiones legales si se manejan datos sensibles.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante la manipulación de solicitudes HTTP para acceder a cursos privados sin la debida autorización.

Mitigación recomendada

Actualizar Tutor LMS a la versión 3.9.8 o superior para corregir la vulnerabilidad. Revisar los roles y permisos de los usuarios en la plataforma para asegurar que estén configurados correctamente. Implementar auditorías periódicas de seguridad para detectar configuraciones erróneas.

Señales de detección

Señales de alerta incluyen registros de accesos no autorizados a cursos privados y cambios inusuales en los roles de usuario.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.9.8 de Tutor LMS. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

tutor

Tutor LMS <= 3.9.7 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary Course Content Modification

Ver ficha
HIGH PLUGIN

tutor

Tutor LMS <= 3.9.7 - Missing Authorization to Unauthenticated Arbitrary Billing Profile Overwrite via 'order_id' Parameter

Ver ficha
MEDIUM PLUGIN

tutor

Tutor LMS – eLearning and online course solution <= 3.9.4 - Authenticated (Subscriber+) Insecure Direct Object Reference

Ver ficha
HIGH PLUGIN

tutor

Tutor LMS <= 3.9.6 - Unauthenticated SQL Injection via coupon_code

Ver ficha
MEDIUM PLUGIN

tutor

Tutor LMS – eLearning and online course solution <= 3.9.5 - Missing Authorization

Ver ficha
HIGH PLUGIN

tutor

Tutor LMS <= 3.9.5 - Insecure Direct Object Reference to Authenticated (Instructor+) Arbitrary Course Modification and Deletion

Ver ficha
MEDIUM PLUGIN

tutor

Tutor LMS <= 3.9.5 - Authenticated (Subscriber+) Information Disclosure in Coupon Details via 'tutor_coupon_details' AJAX Action

Ver ficha
MEDIUM PLUGIN

tutor

Tutor LMS – eLearning and online course solution <= 3.9.4 - Missing Authorization to Authenticated (Subscriber+) Limited Attachment Deletion

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad