Análise pendenteCVE-2026-6965

CVE-2026-6965: IDOR em Tutor LMS – Solução de eLearning

Plataforma

wordpress

Componente

tutor

Corrigido em

3.9.10

Ver no NVD

Salvar

A vulnerabilidade CVE-2026-6965 é um Insecure Direct Object Reference (IDOR) descoberto no plugin Tutor LMS para WordPress. Essa falha permite que atacantes manipulem o ID do curso, comprometendo a autorização e potencialmente permitindo o gerenciamento não autorizado de conteúdo. As versões afetadas são da 0.0.0 até a 3.9.9; a correção foi implementada na versão 3.9.10.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataque

Um atacante pode explorar essa vulnerabilidade para obter acesso não autorizado a funcionalidades de gerenciamento de cursos no Tutor LMS. Ao manipular o parâmetro course na requisição GET, o atacante pode contornar as verificações de autorização implementadas pela função canusermanage(). Isso pode resultar na capacidade de modificar, excluir ou visualizar conteúdo que não deveria ser acessível ao atacante, como cursos, lições e questionários. O impacto potencial é significativo, especialmente em ambientes onde o Tutor LMS é usado para hospedar cursos sensíveis ou confidenciais. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, modificação de conteúdo educacional e até mesmo à interrupção do serviço.

Contexto de Exploração

A vulnerabilidade CVE-2026-6965 foi publicada em 2026-05-13. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. A existência de um IDOR, como este, é um padrão comum em aplicações web, e a falta de validação adequada de entradas do usuário pode levar a explorações semelhantes. Consulte o NVD (National Vulnerability Database) para atualizações sobre a exploração e a severidade.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido

CISA KEVNO

Exposição na InternetAlta

CISA SSVC

Exploitationnone

Automatableyes

Technical Impactpartial

Vetor CVSS

O que significam essas métricas?

Attack Vector: Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity: Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required: Nenhum — sem autenticação necessária para explorar.
User Interaction: Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope: Inalterado — impacto limitado ao componente vulnerável.
Confidentiality: Nenhum — sem impacto na confidencialidade.
Integrity: Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability: Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentetutor

Fornecedorwordfence

Versão mínima0.0.0

Versão máxima3.9.9

Corrigido em3.9.10

Classificação de Fraqueza (CWE)

CWE-639

Linha do tempo

Reserved2026-04-24
Publicada2026-05-13

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-6965 é atualizar o plugin Tutor LMS para a versão 3.9.10 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar uma camada de proteção adicional com um Web Application Firewall (WAF) que filtre requisições GET com parâmetros course suspeitos. Além disso, revise e reforce a lógica de autorização no código do plugin para garantir que as verificações de acesso sejam realizadas corretamente, utilizando dados confiáveis e não parâmetros fornecidos pelo usuário. Após a atualização, confirme a correção executando testes de penetração para verificar se a vulnerabilidade foi efetivamente eliminada.

Como corrigir

Atualize para a versão 3.9.10, ou uma versão corrigida mais recente

Perguntas frequentes

O que é CVE-2026-6965 — IDOR no Tutor LMS?

CVE-2026-6965 é uma vulnerabilidade de Insecure Direct Object Reference (IDOR) no plugin Tutor LMS para WordPress, permitindo que atacantes manipulem o ID do curso e acessem conteúdo não autorizado.

Estou afetado pelo CVE-2026-6965 no Tutor LMS?

Se você estiver utilizando o plugin Tutor LMS para WordPress nas versões da 0.0.0 até a 3.9.9, você está afetado por esta vulnerabilidade.

Como corrigir CVE-2026-6965 no Tutor LMS?

A correção é atualizar o plugin Tutor LMS para a versão 3.9.10 ou superior. Considere também implementar um WAF para proteção adicional.

CVE-2026-6965 está sendo ativamente explorado?

Atualmente, não há informações disponíveis sobre exploração ativa ou campanhas direcionadas, mas a vulnerabilidade representa um risco significativo.

Onde posso encontrar o aviso oficial do Tutor LMS para CVE-2026-6965?

Consulte o site oficial do Tutor LMS ou o repositório de plugins do WordPress para o aviso oficial e as instruções de atualização.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis Buscar CVEs

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

ao vivoverificação gratuita

Escaneie seu projeto WordPress agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Procurar arquivos