Tutor LMS <= 3.9.8 - Authenticated (Subscriber+) Arbitrary Course Content Manipulation via tutor_update_course_content_order

Resumen ejecutivo

Se ha identificado una vulnerabilidad en Tutor LMS (versiones <= 3.9.8) que permite a usuarios autenticados con rol de suscriptor manipular el contenido de los cursos. Esta falla podría comprometer la integridad del contenido educativo y afectar la confianza de los usuarios en la plataforma.

Contexto técnico

El fallo se origina en la función 'tutor_update_course_content_order', que no valida adecuadamente los permisos de los usuarios. Esto permite a los suscriptores realizar cambios no autorizados en el contenido de los cursos, exponiendo la plataforma a manipulaciones maliciosas.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en una alteración del contenido de los cursos, lo que podría llevar a una pérdida de confianza por parte de los usuarios y afectar negativamente la reputación de la institución. Además, puede tener implicaciones legales si se manipula contenido sensible.

Vector de explotación

La explotación se lleva a cabo mediante solicitudes autenticadas que utilizan la función vulnerable, permitiendo a los atacantes modificar el orden y contenido de los cursos sin los permisos adecuados.

Mitigación recomendada

Actualizar Tutor LMS a la versión 3.9.9 o superior para corregir la vulnerabilidad. Revisar los permisos de los roles de usuario para asegurar que solo los administradores puedan realizar cambios en el contenido del curso. Implementar medidas de monitoreo para detectar accesos inusuales o cambios no autorizados en el contenido.

Señales de detección

Revisar los registros de acceso para identificar cambios en el contenido de los cursos realizados por usuarios con rol de suscriptor. Buscar patrones inusuales o intentos de modificación en los logs del sistema.

Alcance afectado

Las versiones de Tutor LMS hasta la 3.9.8 son vulnerables. No se han confirmado casos de explotación en versiones posteriores a la 3.9.9.