Platform
wordpress
Component
tutor
Opgelost in
4.0.0
CVE-2026-3358 is a security vulnerability affecting the Tutor LMS plugin for WordPress. This flaw allows authenticated users, even those with Subscriber access, to enroll in courses designated as 'private' without proper authorization. The vulnerability stems from a lack of validation within the enrollnow() and courseenrollment() functions. Affected versions include all versions up to and including 3.9.7; a patch is available in version 3.9.8.
CVE-2026-3358 in Tutor LMS stelt geauthenticeerde gebruikers, maar niet geautoriseerde gebruikers, in staat zich in te schrijven voor privécursussen. Dit komt door een ontbrekende poststatus-validatie in de functies enrollnow() en course_enrollment(). Hoewel deze functies de nonce-geldigheid, de gebruikersauthenticatie en controleren of de cursus aankoopbaar is, controleren ze niet of de cursus de status private heeft. Een geauthenticeerde aanvaller kan deze nalatigheid uitbuiten om zich in te schrijven voor cursussen die exclusief zouden moeten zijn, waardoor de privacy en integriteit van educatief materiaal in gevaar komt. De CVSS-score van 5.4 duidt op een matig risico, wat onmiddellijke aandacht vereist om potentiële ongeautoriseerde toegang tot gevoelige materialen te voorkomen.
Een geauthenticeerde aanvaller op de WordPress-site (bijvoorbeeld een geregistreerde gebruiker met beperkte rechten) kan deze kwetsbaarheid uitbuiten. De aanvaller hoeft slechts een kwaadaardige URL te construeren die de functies enrollnow() of courseenrollment() aanroept met een cursus die de status private heeft. Het ontbreken van post_status-validatie stelt de aanvaller in staat zich zonder autorisatie in de privécursus in te schrijven. De eenvoud van de exploitatie en de potentiële impact op de privacy van de inhoud maken deze kwetsbaarheid tot een aanzienlijk probleem.
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is het bijwerken van de Tutor LMS-plugin naar versie 3.9.8 of hoger. Deze update bevat de vereiste post_status-validatie om ervoor te zorgen dat alleen geautoriseerde gebruikers zich kunnen inschrijven voor privécursussen. Het wordt aanbevolen om deze update zo snel mogelijk uit te voeren, vooral als u privécursussen op uw leerplatform gebruikt. Controleer bovendien de gebruikersrechteninstellingen en -rollen om ervoor te zorgen dat alleen gebruikers met de juiste bevoegdheden toegang hebben tot de functie voor het inschrijven voor cursussen. Een back-up van uw site maken voordat u de update uitvoert, is een aanbevolen praktijk.
Update naar versie 3.9.8, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een 'nonce' is een beveiligingstoken dat helpt Cross-Site Request Forgery (CSRF)-aanvallen te voorkomen. Het controleert of de aanvraag afkomstig is van de legitieme website en niet van een kwaadaardige bron.
Geauthenticeerd betekent dat de aanvaller een geldig gebruikersaccount op de WordPress-site heeft. Ze hoeven geen beheerder te zijn, maar een geregistreerde gebruiker.
Ga in het WordPress-beheerderspaneel naar 'Plugins' en zoek naar Tutor LMS. Als een update beschikbaar is, wordt er een melding weergegeven.
Als u de plugin niet direct kunt bijwerken, overweeg dan om de toegang tot privécursussen te beperken tot een specifieke gebruikersgroep totdat u de update kunt toepassen.
Ja, controleer regelmatig gebruikersrechten, gebruik sterke wachtwoorden en houd alle WordPress-software, inclusief het thema en andere plugins, up-to-date.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.