Gratis scannen
Analyse in behandelingCVE-2026-6965

CVE-2026-6965: IDOR in Tutor LMS – eLearning

Platform

wordpress

Component

tutor

Opgelost in

3.9.10

Bekijk op NVD
Opslaan

CVE-2026-6965 beschrijft een Insecure Direct Object Reference (IDOR) kwetsbaarheid in de Tutor LMS plugin voor WordPress. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde toegang te krijgen tot cursusinhoud door de course GET parameter te manipuleren. De kwetsbaarheid treft versies van Tutor LMS tussen 0.0.0 en 3.9.9. Een fix is beschikbaar in versie 3.9.10.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze IDOR kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot cursusmaterialen, zoals lessen, opdrachten en beoordelingen. Aanvallers kunnen deze informatie inwinnen, wijzigen of zelfs verwijderen, afhankelijk van de toegestane rechten. Dit kan de integriteit van de online leeromgeving in gevaar brengen en de vertrouwelijkheid van gevoelige informatie schenden. De impact is vergelijkbaar met scenario's waarbij een gebruiker toegang krijgt tot de cursusinhoud van een andere gebruiker, wat de privacy en de leerervaring kan aantasten. De ernst van de impact hangt af van de gevoeligheid van de cursusinhoud en de privileges van de gebruiker die toegang verkrijgt.

Uitbuitingscontext

Op dit moment is er geen publieke exploitatie van CVE-2026-6965 bekend. De kwetsbaarheid is gepubliceerd op 2026-05-13 en de CVSS score is 5.3 (MEDIUM), wat duidt op een matige kans op exploitatie. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid. Het is echter raadzaam om de plugin zo snel mogelijk te patchen om potentiële risico's te minimaliseren.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

CISA SSVC

Exploitationnone
Automatableyes
Technical Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N5.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componenttutor
Leverancierwordfence
Minimumversie0.0.0
Maximumversie3.9.9
Opgelost in3.9.10

Zwakheidsclassificatie (CWE)

CWE-639

Tijdlijn

  1. Reserved
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-6965 is het updaten van de Tutor LMS plugin naar versie 3.9.10 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de getcourseid_by() functie via een WordPress firewall (WAF) of door de toegang tot de functie te beperken tot geauthenticeerde gebruikers met de juiste rechten. Controleer de WordPress plugin configuratie om te verzekeren dat de toegang tot cursusinhoud strikt wordt gecontroleerd en dat er geen ongeautoriseerde toegang mogelijk is. Na de upgrade, controleer de toegang tot cursusinhoud met verschillende gebruikersaccounts om te verifiëren dat de fix effectief is en dat ongeautoriseerde toegang is voorkomen.

Hoe te verhelpen

Update naar versie 3.9.10, of een nieuwere gepatchte versie

Veelgestelde vragen

Wat is CVE-2026-6965 — IDOR in Tutor LMS?

CVE-2026-6965 is een Insecure Direct Object Reference (IDOR) kwetsbaarheid in de Tutor LMS plugin voor WordPress, waardoor ongeautoriseerde toegang tot cursusinhoud mogelijk is.

Am I affected by CVE-2026-6965 in Tutor LMS?

Ja, als u Tutor LMS gebruikt in versie 0.0.0–3.9.9, dan bent u kwetsbaar voor deze IDOR kwetsbaarheid.

How do I fix CVE-2026-6965 in Tutor LMS?

Update de Tutor LMS plugin naar versie 3.9.10 of hoger om deze kwetsbaarheid te verhelpen.

Is CVE-2026-6965 being actively exploited?

Op dit moment zijn er geen bekende actieve exploitaties van CVE-2026-6965, maar het is raadzaam om de plugin zo snel mogelijk te patchen.

Where can I find the official Tutor LMS advisory for CVE-2026-6965?

Raadpleeg de officiële Tutor LMS website of de WordPress plugin repository voor de meest recente informatie en updates over CVE-2026-6965.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen
livefree scan

Scan nu uw WordPress project — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...