Tutor LMS <= 3.9.7 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary Course Content Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en Tutor LMS que permite a usuarios autenticados modificar contenido de cursos de manera no autorizada. Este fallo, con una severidad media, puede comprometer la integridad de los cursos y afectar la confianza de los usuarios.

Contexto técnico

La vulnerabilidad se presenta en versiones de Tutor LMS hasta la 3.9.7 y permite a usuarios con rol de suscriptor o superior acceder y modificar contenido de cursos sin los permisos adecuados. La superficie de ataque se centra en las solicitudes que gestionan el acceso a los recursos de los cursos.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que la modificación no autorizada de contenido puede llevar a la pérdida de datos críticos y afectar la experiencia del usuario. Además, puede dañar la reputación de la plataforma si se explota de forma maliciosa.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la manipulación de parámetros en las solicitudes HTTP, permitiendo a un atacante acceder a contenido que no debería poder modificar.

Mitigación recomendada

Actualizar Tutor LMS a la versión 3.9.8 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios y ajustar roles para limitar el acceso a funciones críticas. Implementar medidas de validación de permisos en todas las solicitudes que modifiquen contenido.

Señales de detección

Señales de riesgo incluyen registros de modificaciones de contenido por parte de usuarios con permisos inusuales o cambios en la configuración de cursos sin justificación.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.9.8 de Tutor LMS. No se han confirmado casos en versiones posteriores.