MEDIUMCVE-2026-5502CVSS 5.3

Tutor LMS <= 3.9.8 - Manipulation Arbitraire du Contenu des Cours Authentifiée (Abonné+) via tutor_update_course_content_order

Q: What is CVE-2026-5502?

CVE-2026-5502 is a vulnerability in the Tutor LMS WordPress plugin that allows unauthorized users to modify course content. It’s caused by a missing authorization check, allowing manipulation if the 'content_parent' parameter is absent in the request.

Q: Am I affected by CVE-2026-5502?

You are potentially affected if you are using Tutor LMS version 3.9.8 or earlier. It’s crucial to assess your plugin versions and apply the necessary updates to mitigate this risk.

Q: How do I fix CVE-2026-5502?

The vulnerability is fixed in Tutor LMS version 3.9.9. Update your plugin to this version or later to address the issue and prevent unauthorized course content manipulation.

Plateforme

wordpress

Composant

tutor

Corrigé dans

3.9.9

AI Confidence: highNVDEPSS 0.0%Révisé: avr. 2026

Voir sur NVD

Sauvegarder

Traduction vers votre langue…

CVE-2026-5502 is a security vulnerability affecting the Tutor LMS plugin for WordPress. This issue allows unauthorized users to manipulate course content due to a missing authorization check within the plugin's code. Versions of Tutor LMS up to and including 3.9.8 are affected, and a patch is available in version 3.9.9.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

Rapports2 rapports de menace

EPSS

0.01% (percentile 3%)

CISA SSVC

Exploitationnone

Automatisableyes

Impact Techniquepartial

Vecteur CVSS

Logiciel Affecté

Composanttutor

Fournisseurwordfence

Plage affectéeCorrigé dans

0.0.0 – 3.9.83.9.9

3.9.83.9.9

Classification de Faiblesse (CWE)

CWE-862

Chronologie

Réservé2026-04-03
Publiée2026-04-17
Modifiée2026-04-22
EPSS mis à jour2026-04-24

Comment corriger

Mettre à jour vers la version 3.9.9, ou une version corrigée plus récente

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-5502?

CVE-2026-5502 is a vulnerability in the Tutor LMS WordPress plugin that allows unauthorized users to modify course content. It’s caused by a missing authorization check, allowing manipulation if the 'content_parent' parameter is absent in the request.

Am I affected by CVE-2026-5502?

You are potentially affected if you are using Tutor LMS version 3.9.8 or earlier. It’s crucial to assess your plugin versions and apply the necessary updates to mitigate this risk.

How do I fix CVE-2026-5502?

The vulnerability is fixed in Tutor LMS version 3.9.9. Update your plugin to this version or later to address the issue and prevent unauthorized course content manipulation.

NextGuard

Vulnérabilités

Informations sur le paquet

Note du plugin

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

5.0

Que signifient ces métriques?

Attack Vector: Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity: Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required: Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction: Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope: Inchangé — impact limité au composant vulnérable.
Confidentiality: Aucun — aucun impact sur la confidentialité.
Integrity: Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability: Aucun — aucun impact sur la disponibilité.