MEDIUMCVE-2026-5502CVSS 5.3

Tutor LMS <= 3.9.8 - Manipulação Arbitrária de Conteúdo do Curso Autenticado (Assinante+) via tutor_update_course_content_order

Q: What is CVE-2026-5502?

CVE-2026-5502 is a vulnerability in the Tutor LMS WordPress plugin that allows unauthorized users to modify course content. It’s caused by a missing authorization check, allowing manipulation if the 'content_parent' parameter is absent in the request.

Q: Am I affected by CVE-2026-5502?

You are potentially affected if you are using Tutor LMS version 3.9.8 or earlier. It’s crucial to assess your plugin versions and apply the necessary updates to mitigate this risk.

Q: How do I fix CVE-2026-5502?

The vulnerability is fixed in Tutor LMS version 3.9.9. Update your plugin to this version or later to address the issue and prevent unauthorized course content manipulation.

Plataforma

wordpress

Componente

tutor

Corrigido em

3.9.9

AI Confidence: highNVDEPSS 0.0%Revisado: abr. de 2026

Ver no NVD

Salvar

Traduzindo para o seu idioma…

CVE-2026-5502 is a security vulnerability affecting the Tutor LMS plugin for WordPress. This issue allows unauthorized users to manipulate course content due to a missing authorization check within the plugin's code. Versions of Tutor LMS up to and including 3.9.8 are affected, and a patch is available in version 3.9.9.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido

CISA KEVNO

Exposição na InternetAlta

Relatórios2 relatórios de ameaças

EPSS

0.01% (percentil 3%)

CISA SSVC

Exploraçãonone

Automatizávelyes

Impacto Técnicopartial

Vetor CVSS

Software Afetado

Componentetutor

Fornecedorwordfence

Faixa afetadaCorrigido em

0.0.0 – 3.9.83.9.9

3.9.83.9.9

Classificação de Fraqueza (CWE)

CWE-862

Linha do tempo

Reservado2026-04-03
Publicada2026-04-17
Modificada2026-04-22
EPSS atualizado2026-04-24

Como corrigir

Atualize para a versão 3.9.9, ou uma versão corrigida mais recente

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentestraduzindo…

What is CVE-2026-5502?

CVE-2026-5502 is a vulnerability in the Tutor LMS WordPress plugin that allows unauthorized users to modify course content. It’s caused by a missing authorization check, allowing manipulation if the 'content_parent' parameter is absent in the request.

Am I affected by CVE-2026-5502?

You are potentially affected if you are using Tutor LMS version 3.9.8 or earlier. It’s crucial to assess your plugin versions and apply the necessary updates to mitigate this risk.

How do I fix CVE-2026-5502?

The vulnerability is fixed in Tutor LMS version 3.9.9. Update your plugin to this version or later to address the issue and prevent unauthorized course content manipulation.

NextGuard

Vulnerabilidades

Informações do pacote

Avaliação do plugin

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

5.0

O que significam essas métricas?

Attack Vector: Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity: Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required: Nenhum — sem autenticação necessária para explorar.
User Interaction: Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope: Inalterado — impacto limitado ao componente vulnerável.
Confidentiality: Nenhum — sem impacto na confidencialidade.
Integrity: Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability: Nenhum — sem impacto na disponibilidade.