CVE-2026-6965: IDOR dans Tutor LMS – Solution eLearning
Plateforme
wordpress
Composant
tutor
Corrigé dans
3.9.10
La vulnérabilité CVE-2026-6965 affecte le plugin Tutor LMS pour WordPress, une solution d'eLearning et de cours en ligne. Cette faille d'Insecure Direct Object Reference (IDOR) permet à un attaquant de contourner les contrôles d'accès et d'accéder à du contenu de cours non autorisé. Les versions concernées sont celles comprises entre 0.0.0 et 3.9.9. Une correction a été déployée dans la version 3.9.10.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation de cette vulnérabilité IDOR permet à un attaquant de manipuler l'ID du cours via le paramètre GET course. La fonction getcourseidby() ne valide pas correctement ce paramètre, ce qui permet à l'attaquant de contourner l'autorisation via canuser_manage(). En fournissant un ID de cours malveillant, l'attaquant peut potentiellement accéder à des informations sensibles, modifier du contenu de cours, ou même supprimer des éléments, en fonction des permissions du compte utilisateur utilisé. Le risque est accru si des comptes avec des privilèges d'instructeur sont compromis, permettant un accès plus large aux données et fonctionnalités de la plateforme eLearning. Cette vulnérabilité est similaire à d'autres IDOR où la validation des entrées utilisateur est insuffisante.
Contexte d'Exploitation
La vulnérabilité CVE-2026-6965 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité de manipuler les paramètres GET et de la complexité potentielle de l'exploitation. Il n'y a pas d'informations disponibles concernant des campagnes d'exploitation actives ou des preuves de compromission publique. La vulnérabilité est référencée sur le site du NVD (National Vulnerability Database).
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Reserved
- Publiée
Mitigation et Contournements
La solution principale est de mettre à jour le plugin Tutor LMS vers la version 3.9.10 ou supérieure. En attendant la mise à jour, une mesure d'atténuation temporaire consiste à restreindre l'accès au paramètre GET course via un pare-feu d'application web (WAF) ou un proxy inverse. Configurez des règles pour bloquer les requêtes avec des valeurs de course non valides ou suspectes. Il est également recommandé de renforcer les contrôles d'accès au sein du plugin Tutor LMS, en validant rigoureusement l'ID du cours avant d'autoriser toute opération. Après la mise à jour, vérifiez que les contrôles d'accès fonctionnent correctement en testant l'accès à des cours avec différents comptes utilisateurs.
Comment corriger
Mettre à jour vers la version 3.9.10, ou une version corrigée plus récente
Questions fréquentes
Que signifie CVE-2026-6965 — IDOR dans Tutor LMS ?
CVE-2026-6965 décrit une vulnérabilité d'Insecure Direct Object Reference (IDOR) dans le plugin Tutor LMS pour WordPress, permettant un accès non autorisé au contenu des cours. L'attaquant peut manipuler l'ID du cours pour contourner les contrôles d'accès.
Suis-je affecté par CVE-2026-6965 dans Tutor LMS ?
Vous êtes affecté si vous utilisez le plugin Tutor LMS pour WordPress dans les versions 0.0.0 à 3.9.9. Vérifiez la version installée et mettez à jour si nécessaire.
Comment corriger CVE-2026-6965 dans Tutor LMS ?
La correction consiste à mettre à jour le plugin Tutor LMS vers la version 3.9.10 ou supérieure. En attendant, utilisez un WAF pour restreindre l'accès au paramètre GET course.
CVE-2026-6965 est-il activement exploité ?
À l'heure actuelle, il n'y a pas de preuves publiques d'exploitation active de CVE-2026-6965, mais la vulnérabilité reste présente dans les versions non corrigées.
Où puis-je trouver l'avis officiel de Tutor LMS pour CVE-2026-6965 ?
Consultez le site web de Tutor LMS ou le dépôt GitHub du plugin pour obtenir des informations officielles et des mises à jour concernant CVE-2026-6965. Recherchez les notes de version de la version 3.9.10.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...