Plateforme
wordpress
Composant
tutor
Corrigé dans
4.0.0
CVE-2026-3371 represents an Insecure Direct Object Reference (IDOR) vulnerability discovered in the Tutor LMS plugin for WordPress. This flaw allows unauthorized users to modify the order of course content due to insufficient authorization checks within the plugin's savecoursecontent_order() function. The vulnerability affects versions of Tutor LMS up to and including 3.9.7, and a patch is available in version 3.9.8.
La vulnérabilité CVE-2026-3371 dans Tutor LMS expose un risque de Référence Directe Insecure d'Objet (IDOR) affectant les versions jusqu'à et y compris 3.9.7. Cela est dû à l'absence de vérifications d'autorisation dans la méthode privée savecoursecontentorder(), qui est appelée de manière inconditionnelle par le gestionnaire AJAX tutorupdatecoursecontentorder. Bien que la branche contentparent du gestionnaire inclue une vérification canusermanage(), l'appel savecoursecontent_order() traite les données fournies par l'attaquant sans validation appropriée. Un attaquant peut exploiter cela pour manipuler l'ordre du contenu du cours, perturbant potentiellement l'expérience d'apprentissage et compromettant l'intégrité du matériel du cours. Le score CVSS 4.3 indique un impact modéré, nécessitant une correction immédiate.
Cette vulnérabilité est exploitée par le biais d'une requête AJAX élaborée vers le point de terminaison tutorupdatecoursecontentorder. Un attaquant peut envoyer cette requête sans authentification, car la fonction savecoursecontent_order() ne dispose pas de vérifications d'autorisation appropriées. En manipulant les paramètres de la requête, un attaquant peut modifier l'ordre des modules et des leçons du cours, perturbant potentiellement l'expérience d'apprentissage ou supprimant du contenu essentiel. La facilité d'exploitation, combinée à l'impact potentiel sur les supports pédagogiques, en fait une préoccupation de sécurité importante.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
L'atténuation recommandée pour CVE-2026-3371 est de mettre à jour Tutor LMS vers la version 3.9.8 ou ultérieure. Cette mise à jour intègre les vérifications d'autorisation nécessaires dans savecoursecontentorder() pour empêcher la modification non autorisée de l'ordre du contenu du cours. Avant de mettre à jour, il est fortement conseillé de créer une sauvegarde complète de votre site WordPress. Examinez régulièrement les rôles et les autorisations des utilisateurs dans WordPress pour vous assurer que seuls les utilisateurs autorisés ont la possibilité de gérer le contenu du cours. Surveillez également les journaux du serveur à la recherche de toute activité suspecte liée aux requêtes AJAX tutorupdatecoursecontent_order.
Mettre à jour vers la version 3.9.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de sécurité dans Tutor LMS qui permet aux utilisateurs non autorisés de modifier l'ordre du contenu du cours.
Mettez à jour immédiatement vers la version 3.9.8 ou ultérieure.
Oui, il est fortement recommandé de créer une sauvegarde complète de votre site WordPress avant d'appliquer une mise à jour de plugin.
Si vous utilisez une version antérieure à 3.9.8, votre site est vulnérable.
Examinez les rôles et les autorisations des utilisateurs dans WordPress et surveillez les journaux du serveur à la recherche d'activités suspectes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.