Kostenlos scannen
Analyse ausstehendCVE-2026-6965

CVE-2026-6965: IDOR in Tutor LMS – eLearning Plugin

Plattform

wordpress

Komponente

tutor

Behoben in

3.9.10

Auf NVD ansehen
Speichern

CVE-2026-6965 describes an Insecure Direct Object Reference (IDOR) vulnerability discovered in the Tutor LMS plugin for WordPress. This flaw allows attackers to bypass authorization checks and perform actions as an instructor, potentially leading to unauthorized modification or deletion of course content. The vulnerability affects versions from 0.0.0 up to and including 3.9.9, and a fix is available in version 3.9.10.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarien

The core of this vulnerability lies in the getcourseid_by() function, which fails to properly validate the course GET parameter. An attacker can craft a malicious URL with a manipulated course parameter, effectively tricking the plugin into performing instructor-level actions on a course they do not own. This could involve modifying course settings, deleting lessons, or even accessing sensitive student data associated with the targeted course. The blast radius extends to any course accessible through the WordPress site, making it a significant risk for platforms with numerous courses and instructors.

Ausnutzungskontext

CVE-2026-6965 was published on 2026-05-13. Its severity is currently assessed as MEDIUM. There are no known public exploits or active campaigns targeting this vulnerability at the time of writing. The vulnerability is not listed on KEV (Known Exploited Vulnerabilities) as of this date. Monitor security advisories and threat intelligence feeds for any updates regarding exploitation attempts.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CISA SSVC

Exploitationnone
Automatableyes
Technical Impactpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N5.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentetutor
Herstellerwordfence
Mindestversion0.0.0
Höchstversion3.9.9
Behoben in3.9.10

Schwachstellen-Klassifikation (CWE)

CWE-639

Zeitleiste

  1. Reserved
  2. Veröffentlicht

Mitigation und Workarounds

The primary mitigation for CVE-2026-6965 is to immediately upgrade the Tutor LMS plugin to version 3.9.10 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider implementing a temporary workaround by restricting direct access to the vulnerable endpoints. This could involve implementing stricter access controls within WordPress itself, or using a Web Application Firewall (WAF) to filter requests based on the course parameter. Monitor WordPress access logs for suspicious activity involving the course GET parameter. After upgrading, confirm the fix by attempting to access a course as a non-authorized user and verifying that access is denied.

So beheben

Aktualisieren Sie auf Version 3.9.10 oder eine neuere gepatchte Version

Häufig gestellte Fragen

What is CVE-2026-6965 — IDOR in Tutor LMS?

CVE-2026-6965 is an Insecure Direct Object Reference vulnerability in the Tutor LMS WordPress plugin, allowing unauthorized access to instructor-level operations.

Am I affected by CVE-2026-6965 in Tutor LMS?

If you are using Tutor LMS versions 0.0.0 through 3.9.9 on your WordPress site, you are potentially affected by this vulnerability.

How do I fix CVE-2026-6965 in Tutor LMS?

Upgrade the Tutor LMS plugin to version 3.9.10 or later to resolve this IDOR vulnerability. Consider temporary workarounds if immediate upgrade is not possible.

Is CVE-2026-6965 being actively exploited?

As of the current assessment, there are no known public exploits or active campaigns targeting CVE-2026-6965.

Where can I find the official Tutor LMS advisory for CVE-2026-6965?

Refer to the official Tutor LMS website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2026-6965.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...