Plateforme
wordpress
Composant
tutor
Corrigé dans
4.0.0
La vulnérabilité CVE-2026-3358 affecte le plugin Tutor LMS pour WordPress, une solution d'apprentissage en ligne. Elle permet à un attaquant authentifié de s'inscrire à des cours privés sans autorisation, contournant les restrictions d'accès. Cette faille est présente dans les versions 0.0.0 à 3.9.7 du plugin et a été corrigée dans la version 3.9.8.
Cette vulnérabilité permet à un attaquant, ayant un accès authentifié (même un compte utilisateur de niveau 'Abonné' ou supérieur), de s'inscrire à des cours privés qui devraient être réservés à un groupe restreint d'utilisateurs. L'attaquant peut ainsi accéder à du contenu confidentiel, potentiellement des formations exclusives ou des informations sensibles. L'impact est aggravé si les cours privés contiennent des données personnelles des étudiants ou des informations commerciales confidentielles. Bien que la vulnérabilité nécessite une authentification préalable, la facilité d'exploitation et la possibilité d'accès à des données privées en font un risque significatif pour les sites WordPress utilisant Tutor LMS.
La vulnérabilité CVE-2026-3358 a été publiée le 2026-04-11. Aucune preuve d'exploitation active n'a été rapportée à ce jour. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à la date d'aujourd'hui. Un proof-of-concept (POC) public pourrait être développé, ce qui augmenterait le risque d'exploitation.
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Tutor LMS vers la version 3.9.8 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès aux cours privés en utilisant les fonctionnalités de contrôle d'accès natives de WordPress ou des plugins complémentaires. Il est également recommandé de vérifier régulièrement les permissions des utilisateurs et de s'assurer que seuls les utilisateurs autorisés ont accès aux cours privés. En attendant la mise à jour, une vérification manuelle des inscriptions aux cours privés peut aider à identifier les inscriptions suspectes.
Mettre à jour vers la version 3.9.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
A 'nonce' is a security token that helps prevent Cross-Site Request Forgery (CSRF) attacks. It verifies that the request originates from the legitimate website and not a malicious source.
Authenticated means the attacker has a valid user account on the WordPress site. They don't need to be an administrator, but a registered user.
In the WordPress admin dashboard, go to 'Plugins' and look for Tutor LMS. If an update is available, a notification will be displayed.
If you cannot update immediately, consider restricting access to private courses to a specific group of users until you can apply the update.
Yes, regularly review user permissions, use strong passwords, and keep all WordPress software, including the theme and other plugins, updated.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.