Plataforma
wordpress
Componente
tutor-pro
Corregido en
3.9.6
La vulnerabilidad CVE-2026-0953 es un bypass de autenticación crítico descubierto en el plugin Tutor LMS Pro para WordPress. Esta falla permite a atacantes no autenticados obtener acceso no autorizado a cuentas de usuario, incluyendo cuentas de administrador, comprometiendo la seguridad del sitio web. La vulnerabilidad afecta a todas las versiones de Tutor LMS Pro desde 0.0.0 hasta la 3.9.5. Se recomienda actualizar a la versión 3.9.6 para mitigar este riesgo.
Un atacante puede explotar esta vulnerabilidad para obtener acceso completo a un sitio WordPress que utiliza el plugin Tutor LMS Pro. Al proporcionar un token OAuth válido de su propia cuenta junto con la dirección de correo electrónico de un usuario objetivo, el atacante puede iniciar sesión como ese usuario sin necesidad de credenciales válidas. Esto permite al atacante realizar cualquier acción que el usuario afectado pueda realizar, incluyendo la modificación de contenido, la gestión de usuarios y la configuración del sitio. El impacto es particularmente grave si el atacante puede comprometer una cuenta de administrador, ya que esto le daría control total sobre el sitio web. La falta de verificación de la dirección de correo electrónico en el proceso de autenticación Social Login es la causa raíz de esta vulnerabilidad, similar a otros bypasses de autenticación que han afectado a plugins de WordPress en el pasado.
La vulnerabilidad CVE-2026-0953 fue publicada el 10 de marzo de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en la naturaleza, pero su gravedad (CVSS 9.8) indica un alto riesgo. Es probable que esta vulnerabilidad sea objeto de escaneo y explotación por parte de atacantes. Se recomienda aplicar la mitigación lo antes posible para evitar posibles ataques. No se ha añadido a KEV a la fecha.
WordPress sites utilizing the Tutor LMS Pro plugin, particularly those relying on the Social Login addon, are at significant risk. Shared hosting environments where multiple WordPress installations share resources are also vulnerable, as a compromise of one site could potentially impact others. Sites with legacy configurations or those that haven't implemented robust security practices are especially susceptible.
• wordpress / composer / npm:
grep -r "validate_oauth_token" /var/www/html/wp-content/plugins/tutor-lms-pro/• wordpress / composer / npm:
wp plugin list --status=inactive | grep tutor-lms-pro• wordpress / composer / npm:
wp plugin list | grep tutor-lms-pro --versiondisclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-0953 es actualizar el plugin Tutor LMS Pro a la versión 3.9.6 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, desactive el addon Social Login hasta que pueda aplicar la actualización. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten explotar esta vulnerabilidad, buscando patrones de autenticación inusuales. Revise los registros del servidor en busca de intentos de inicio de sesión sospechosos y monitoree la actividad de los usuarios para detectar cualquier comportamiento anómalo. Después de la actualización, confirme que el proceso de autenticación Social Login funciona correctamente y que la dirección de correo electrónico se verifica adecuadamente.
Actualizar a la versión 3.9.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0953 is a critical vulnerability in the Tutor LMS Pro WordPress plugin allowing attackers to bypass authentication and log in as any user, including administrators, by exploiting OAuth token validation flaws.
If you are using Tutor LMS Pro versions 0.0.0 through 3.9.5 and have the Social Login addon enabled, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade the Tutor LMS Pro plugin to version 3.9.6 or later. If upgrading is not possible, temporarily disable the Social Login addon.
While no active exploitation campaigns have been confirmed, the ease of exploitation suggests a high probability of attacks. Monitor your systems closely.
Refer to the official Tutor LMS website and WordPress plugin repository for the latest advisory and update information regarding CVE-2026-0953.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.