Tutor LMS <= 3.9.9 - Insecure Direct Object Reference to Authenticated (Instructor+) Arbitrary Post Deletion via 'course' GET Parameter (Insecure Direct Object Reference (IDOR)) - version 3.9.10

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Tutor LMS, que permite a los usuarios autenticados con rol de instructor borrar publicaciones arbitrariamente. Esta debilidad puede comprometer la integridad de los contenidos del sitio y afectar la operativa del negocio.

Contexto técnico

El fallo se origina en la gestión del parámetro 'course' en las solicitudes GET, permitiendo a un instructor acceder a recursos que no deberían estar a su disposición. Esto se traduce en una exposición a la eliminación no autorizada de publicaciones asociadas a cursos.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de contenido valioso y en la alteración de la experiencia del usuario, afectando la reputación del sitio y potencialmente su rendimiento financiero. La severidad se clasifica como media (CVSS 5.3), lo que indica un riesgo moderado que debe ser abordado con urgencia.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad manipulando el parámetro 'course' en las solicitudes GET, lo que les permite borrar publicaciones sin la debida autorización.

Mitigación recomendada

Actualizar el plugin Tutor LMS a la versión 3.9.10 o superior para corregir la vulnerabilidad. Revisar los registros de acceso para identificar posibles intentos de explotación. Implementar controles de acceso más estrictos para los roles de usuario, especialmente para instructores.

Señales de detección

Señales a observar incluyen registros de eliminación de publicaciones inusuales o intentos de acceso a recursos restringidos por parte de usuarios no autorizados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.9.10. No se han reportado casos de explotación en versiones posteriores.