Platform
wordpress
Component
tutor
Opgelost in
3.9.8
3.9.8
CVE-2026-3360 represents an Insecure Direct Object Reference (IDOR) vulnerability discovered within the Tutor LMS plugin for WordPress. This flaw allows unauthorized users to modify billing information associated with user accounts by manipulating the order_id parameter. The vulnerability affects versions of Tutor LMS up to and including 3.9.7, and a patch is available in version 3.9.8.
CVE-2026-3360 in de Tutor LMS plugin voor WordPress vertegenwoordigt een Insecure Direct Object Reference (IDOR) kwetsbaarheid. Dit stelt een aanvaller in staat om de orderid parameter te manipuleren om toegang te krijgen tot en gegevens van bestellingen te wijzigen waarvoor ze niet geautoriseerd zijn. Specifiek ontbreekt de payincomplete_order() functie de juiste authenticatie- en autorisatiecontroles. Een aanvaller zou bijvoorbeeld de factuurgegevens van de eigenaar van de bestelling kunnen wijzigen, waardoor de integriteit van de gebruikersgegevens wordt aangetast en mogelijk frauduleuze activiteiten worden mogelijk gemaakt. De CVSS score is 7.5, wat een hoog risico aangeeft. Dit beïnvloedt alle versies van de plugin tot en met 3.9.7.
Een aanvaller kan deze kwetsbaarheid exploiteren door verzonnen HTTP-verzoeken naar de endpoint te sturen die de payincompleteorder() functie aanroept, waarbij een gemanipuleerde orderid wordt verstrekt. Vanwege het ontbreken van de juiste validatie zal het systeem deze orderid gebruiken om toegang te krijgen tot de bestelgegevens en de wijziging van de factuurvelden die aan de eigenaar van de bestelling zijn gekoppeld, toe te staan. Exploitatie is relatief eenvoudig en vereist alleen kennis van de endpoint en het vermogen om HTTP-verzoeken te manipuleren. Het ontbreken van robuuste authenticatie vereenvoudigt het aanvalsproces.
Exploit Status
EPSS
0.12% (31% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie is om de Tutor LMS plugin te updaten naar versie 3.9.8 of hoger. Deze versie bevat de nodige fixes om authenticatie- en autorisatiecontroles binnen de payincompleteorder() functie te implementeren. Het tijdig toepassen van deze update is cruciaal om het risico op exploitatie te verminderen. Controleer bovendien de gebruikersrechten binnen WordPress en beperk de toegang tot gevoelige functies zoals orderbeheer. Regelmatig de serverlogs monitoren op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Update naar versie 3.9.8, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een IDOR (Insecure Direct Object Reference) aanval treedt op wanneer een webapplicatie een gebruiker toestaat om interne objecten (zoals bestanden, database records, enz.) te openen met behulp van een voorspelbare of manipuleerbare identificator zonder de juiste autorisatiecontroles.
Als u een versie van Tutor LMS gebruikt vóór 3.9.8, is uw site kwetsbaar. U kunt de pluginversie verifiëren in het WordPress-beheerpaneel, onder het tabblad plugins.
Als u vermoedt dat uw site is gecompromitteerd, update dan onmiddellijk naar de nieuwste versie van Tutor LMS, wijzig alle wachtwoorden die met de site verband houden (inclusief het database wachtwoord) en voer een grondige beveiligingsaudit uit.
Web-kwetsbaarheidsscanners kunnen deze kwetsbaarheid detecteren, hoewel ze mogelijk een specifieke configuratie vereisen. U kunt ook handmatige tests uitvoeren om het ontbreken van validatie in de payincompleteorder() functie te verifiëren.
Naast het updaten van de plugin, zorg ervoor dat WordPress en alle andere plugins up-to-date worden gehouden, gebruik sterke wachtwoorden, implementeer een webapplicatiefirewall (WAF) en voer regelmatig back-ups van uw site uit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.