プラットフォーム
wordpress
コンポーネント
tutor
修正版
4.0.0
CVE-2026-3371は、WordPressのTutor LMSプラグインにおける不適切な直接オブジェクト参照(IDOR)の脆弱性です。この脆弱性は、攻撃者がコースコンテンツの順序を不正に操作することを可能にし、コースの構造を改ざんするリスクがあります。影響を受けるバージョンは0.0.0から3.9.7までですが、バージョン3.9.8でこの問題は修正されています。
Tutor LMS の CVE-2026-3371 は、3.9.7 までのバージョンに影響を与える Insecure Direct Object Reference (IDOR) の脆弱性です。これは、savecoursecontentorder() というプライベートメソッドに適切な認証チェックがないために発生します。このメソッドは、tutorupdatecoursecontentorder AJAX ハンドラによって無条件に呼び出されます。ハンドラの contentparent ブランチには canusermanage() チェックが含まれていますが、savecoursecontent_order() の呼び出しは、攻撃者が提供するデータを適切に検証せずに処理します。攻撃者はこれを悪用して、コースコンテンツの順序を操作し、学習体験を妨げたり、コース資料の整合性を損なう可能性があります。CVSS スコア 4.3 は、中程度のインパクトを示しており、迅速な修正が必要です。
この脆弱性は、tutorupdatecoursecontentorder エンドポイントへの作成された AJAX リクエストを通じて悪用されます。攻撃者は、認証なしでこのリクエストを送信できます。なぜなら、savecoursecontent_order() 関数には適切な認証チェックがないからです。リクエストパラメータを操作することで、攻撃者はコースモジュールとレッスンの順序を変更し、学習体験を妨げたり、重要なコンテンツを削除したりする可能性があります。この脆弱性の簡単な悪用と、学習資料への潜在的な影響を考慮すると、重大なセキュリティ上の懸念事項となります。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-3371 の推奨される軽減策は、Tutor LMS をバージョン 3.9.8 以降に更新することです。この更新により、savecoursecontentorder() 内に必要な認証チェックが実装され、コースコンテンツの順序の不正な変更を防ぎます。更新する前に、WordPress ウェブサイトの完全なバックアップを作成することを強くお勧めします。また、WordPress 内のユーザーロールと権限を定期的に確認し、コースコンテンツを管理できるのは承認されたユーザーのみであることを確認してください。さらに、tutorupdatecoursecontent_order AJAX リクエストに関連する疑わしいアクティビティについて、サーバーログを監視することも良い習慣です。
バージョン3.9.8にアップデートするか、より新しい修正されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
これは Tutor LMS のセキュリティ脆弱性で、許可されていないユーザーがコースコンテンツの順序を変更することを可能にします。
すぐにバージョン 3.9.8 以降に更新してください。
はい、プラグインの更新を適用する前に、WordPress ウェブサイトの完全なバックアップを作成することを強くお勧めします。
3.9.8 より前のバージョンを使用している場合、ウェブサイトは脆弱です。
WordPress 内のユーザーロールと権限を確認し、サーバーログを疑わしいアクティビティについて監視してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。