プラットフォーム
wordpress
コンポーネント
tutor
修正版
3.9.8
3.9.8
CVE-2026-3360 represents an Insecure Direct Object Reference (IDOR) vulnerability discovered within the Tutor LMS plugin for WordPress. This flaw allows unauthorized users to modify billing information associated with user accounts by manipulating the order_id parameter. The vulnerability affects versions of Tutor LMS up to and including 3.9.7, and a patch is available in version 3.9.8.
CVE-2026-3360は、WordPressのTutor LMSプラグインにおける不安全な直接オブジェクト参照(IDOR)の脆弱性です。これにより、攻撃者はorderidパラメータを操作して、アクセス権限のない注文データのアクセスと変更が可能になります。具体的には、payincomplete_order()関数には適切な認証および認可チェックがありません。攻撃者は、たとえば、注文所有者の請求情報を変更し、ユーザーデータの整合性を損ない、不正行為を可能にする可能性があります。CVSSスコアは7.5で、高いリスクを示しています。これは、3.9.7までのプラグインのすべてのバージョンに影響します。
攻撃者は、payincompleteorder()関数を呼び出すエンドポイントに操作されたHTTPリクエストを送信し、操作されたorderidを提供することで、この脆弱性を悪用できます。適切な検証がないため、システムはこのorderidを使用して注文データにアクセスし、注文所有者に紐付けられた請求フィールドの変更を許可します。エクスプロイトは比較的簡単で、エンドポイントの知識とHTTPリクエストを操作する能力のみが必要です。堅牢な認証の欠如により、攻撃プロセスが簡素化されます。
エクスプロイト状況
EPSS
0.12% (31% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される軽減策は、Tutor LMSプラグインをバージョン3.9.8以降に更新することです。このバージョンには、payincompleteorder()関数内で認証および認可チェックを実装するために必要な修正が含まれています。この更新を迅速に適用することは、エクスプロイトのリスクを軽減するために重要です。さらに、WordPress内のユーザー権限を確認し、注文管理などの機密性の高い機能へのアクセスを制限します。サーバーログを定期的に監視して疑わしいアクティビティを検出および対応することも役立ちます。
バージョン3.9.8にアップデートするか、より新しいパッチバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
IDOR(不安全な直接オブジェクト参照)攻撃は、Webアプリケーションがユーザーが予測可能または操作可能な識別子を使用して適切な承認チェックを行わずに、内部オブジェクト(ファイル、データベースレコードなど)にアクセスすることを許可する場合に発生します。
Tutor LMSのバージョン3.9.8より前のバージョンを使用している場合、サイトは脆弱です。WordPress管理パネルのプラグインセクションでプラグインのバージョンを確認できます。
サイトが侵害された疑いがある場合は、すぐにTutor LMSを最新バージョンに更新し、サイトに関連するすべてのパスワード(データベースパスワードを含む)を変更し、徹底的なセキュリティ監査を実施してください。
Web脆弱性スキャナはこの脆弱性を検出できますが、特定の構成が必要になる場合があります。payincompleteorder()関数内の検証がないことを確認するために、手動テストを実行することもできます。
プラグインの更新に加えて、WordPressと他のすべてのプラグインを最新の状態に保ち、強力なパスワードを使用し、Webアプリケーションファイアウォール(WAF)を実装し、サイトの定期的なバックアップを実行してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。