Platform
wordpress
Component
tutor
Opgelost in
4.0.0
CVE-2026-3371 represents an Insecure Direct Object Reference (IDOR) vulnerability discovered in the Tutor LMS plugin for WordPress. This flaw allows unauthorized users to modify the order of course content due to insufficient authorization checks within the plugin's savecoursecontent_order() function. The vulnerability affects versions of Tutor LMS up to and including 3.9.7, and a patch is available in version 3.9.8.
CVE-2026-3371 in Tutor LMS vertegenwoordigt een Insecure Direct Object Reference (IDOR) kwetsbaarheid die versies tot en met 3.9.7 treft. Dit komt door ontbrekende autorisatiecontroles binnen de private methode savecoursecontentorder(), die onvoorwaardelijk wordt aangeroepen door de AJAX-handler tutorupdatecoursecontentorder. Hoewel de contentparent-tak van de handler een canusermanage() controle bevat, verwerkt de aanroep savecoursecontent_order() aanvaller-geleverde data zonder juiste validatie. Een aanvaller kan dit uitbuiten om de volgorde van de cursusinhoud te manipuleren, wat het leerproces kan verstoren en de integriteit van het cursusmateriaal kan compromitteren. De CVSS-score van 4.3 duidt op een matige impact, wat een snelle oplossing vereist.
Deze kwetsbaarheid wordt uitgebuit via een verfijnde AJAX-verzoek naar het eindpunt tutorupdatecoursecontentorder. Een aanvaller kan dit verzoek verzenden zonder authenticatie, aangezien de functie savecoursecontent_order() niet over geschikte autorisatiecontroles beschikt. Door de verzoekparameters te manipuleren, kan een aanvaller de volgorde van de cursusmodules en -lessen wijzigen, wat het leerproces kan verstoren of kritieke inhoud kan verwijderen. De eenvoudige uitbuitbaarheid, in combinatie met de potentiële impact op leermaterialen, maakt dit een aanzienlijk beveiligingsrisico.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor CVE-2026-3371 is het updaten van Tutor LMS naar versie 3.9.8 of hoger. Deze update bevat de nodige autorisatiecontroles binnen savecoursecontentorder() om ongeautoriseerde wijzigingen van de volgorde van de cursusinhoud te voorkomen. Vóór de update wordt ten zeerste aanbevolen om een volledige back-up van uw WordPress-website te maken. Controleer regelmatig de gebruikersrollen en -rechten in WordPress om ervoor te zorgen dat alleen geautoriseerde gebruikers de mogelijkheid hebben om de cursusinhoud te beheren. Houd ook de serverlogs in de gaten op verdachte activiteiten met betrekking tot AJAX-verzoeken naar tutorupdatecoursecontent_order.
Update naar versie 3.9.8, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een beveiligingslek in Tutor LMS dat ongeautoriseerde gebruikers in staat stelt de volgorde van de cursusinhoud te wijzigen.
Update onmiddellijk naar versie 3.9.8 of hoger.
Ja, het wordt ten zeerste aanbevolen om een volledige back-up van uw WordPress-website te maken voordat u een plugin-update toepast.
Als u een versie gebruikt die vóór 3.9.8 is, is uw website kwetsbaar.
Controleer de gebruikersrollen en -rechten in WordPress en houd de serverlogs in de gaten op verdachte activiteiten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.