Plattform
wordpress
Komponente
tutor
Behoben in
4.0.0
CVE-2026-3371 represents an Insecure Direct Object Reference (IDOR) vulnerability discovered in the Tutor LMS plugin for WordPress. This flaw allows unauthorized users to modify the order of course content due to insufficient authorization checks within the plugin's savecoursecontent_order() function. The vulnerability affects versions of Tutor LMS up to and including 3.9.7, and a patch is available in version 3.9.8.
CVE-2026-3371 in Tutor LMS stellt eine Insecure Direct Object Reference (IDOR)-Schwachstelle dar, die Versionen bis einschließlich 3.9.7 betrifft. Dies liegt an fehlenden Autorisierungsprüfungen innerhalb der privaten Methode savecoursecontentorder(), die bedingungslos vom AJAX-Handler tutorupdatecoursecontentorder aufgerufen wird. Obwohl der contentparent-Zweig des Handlers eine canusermanage()-Prüfung enthält, verarbeitet der Aufruf savecoursecontent_order() angreifergesteuerte Daten ohne ordnungsgemäße Validierung. Ein Angreifer kann dies ausnutzen, um die Reihenfolge des Kursinhalts zu manipulieren, was das Lernerlebnis stören und die Integrität des Kursmaterials gefährden könnte. Die CVSS-Punktzahl 4.3 deutet auf einen moderaten Einfluss hin, der eine umgehende Behebung erfordert.
Diese Schwachstelle wird durch eine ausgeklügelte AJAX-Anfrage an den Endpunkt tutorupdatecoursecontentorder ausgenutzt. Ein Angreifer kann diese Anfrage ohne Authentifizierung senden, da die Funktion savecoursecontent_order() nicht über geeignete Autorisierungsprüfungen verfügt. Durch die Manipulation der Anfrageparameter kann ein Angreifer die Reihenfolge der Kursmodule und -lektionen ändern, was das Lernerlebnis stören oder wichtige Inhalte entfernen könnte. Die einfache Ausnutzbarkeit, kombiniert mit der potenziellen Auswirkung auf Lernmaterialien, macht dies zu einem bedeutenden Sicherheitsrisiko.
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abmilderung für CVE-2026-3371 ist die Aktualisierung von Tutor LMS auf Version 3.9.8 oder höher. Dieses Update enthält die erforderlichen Autorisierungsprüfungen innerhalb von savecoursecontentorder(), um die unbefugte Änderung der Kursinhaltsreihenfolge zu verhindern. Vor der Aktualisierung wird dringend empfohlen, eine vollständige Sicherung Ihrer WordPress-Website zu erstellen. Überprüfen Sie regelmäßig die Benutzerrollen und -berechtigungen in WordPress, um sicherzustellen, dass nur autorisierte Benutzer die Möglichkeit haben, den Kursinhalt zu verwalten. Überwachen Sie außerdem die Serverprotokolle auf verdächtige Aktivitäten im Zusammenhang mit AJAX-Anfragen an tutorupdatecoursecontent_order.
Aktualisieren Sie auf Version 3.9.8 oder eine neuere gepatchte Version
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Sicherheitslücke in Tutor LMS, die es nicht autorisierten Benutzern ermöglicht, die Reihenfolge des Kursinhalts zu ändern.
Aktualisieren Sie sofort auf Version 3.9.8 oder höher.
Ja, es wird dringend empfohlen, vor dem Anwenden eines Plugin-Updates eine vollständige Sicherung Ihrer WordPress-Website zu erstellen.
Wenn Sie eine Version vor 3.9.8 verwenden, ist Ihre Website anfällig.
Überprüfen Sie die Benutzerrollen und -berechtigungen in WordPress und überwachen Sie die Serverprotokolle auf verdächtige Aktivitäten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.