MEDIUMCVE-2026-5502CVSS 5.3

Tutor LMS <= 3.9.8 - Authenticated (Subscriber+) 通过 tutor_update_course_content_order 任意课程内容操作

Q: 什么是CVE-2026-5502漏洞？

CVE-2026-5502是一个存在于Tutor LMS eLearning插件中的跨站请求伪造 (CSRF) 漏洞，允许攻击者在未经授权的情况下修改课程内容。

Q: 我是否受到此漏洞的影响？

如果您正在使用WordPress Tutor LMS eLearning插件版本低于3.9.9，则可能受到此漏洞的影响。

Q: 如何修复此漏洞？

建议立即将Tutor LMS eLearning插件升级到3.9.9版本以修复此漏洞。

平台

wordpress

组件

tutor

修复版本

3.9.9

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-5502是一个跨站请求伪造 (CSRF) 漏洞，存在于WordPress Tutor LMS – eLearning and online course solution插件中。攻击者可以利用此漏洞在未经授权的情况下修改课程内容，因为在tutorupdatecoursecontentorder()函数中缺少必要的权限检查。该漏洞影响Tutor LMS插件版本高达3.9.8，建议用户尽快升级到3.9.9版本以修复此问题。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件tutor

供应商wordfence

影响范围修复版本

0.0.0 – 3.9.83.9.9

3.9.83.9.9

弱点分类 (CWE)

CWE-862

时间线

已保留2026-04-03
发布日期2026-04-17
修改日期2026-04-22
EPSS 更新日期2026-04-24

修复方法

更新到 3.9.9 版本，或更新的修复版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-5502漏洞？