CVE-2026-0953

Nome do Software Vulnerável e Versões Afetadas Plugin Tutor LMS Pro para WordPress, versões até 3.9.5

Descrição O plugin Tutor LMS Pro para WordPress é suscetível a contorno de autenticação por meio do complemento Social Login. O plugin não valida corretamente se o endereço de e-mail fornecido durante a autenticação corresponde ao endereço de e-mail associado ao token OAuth validado. Isso permite que atacantes façam login como qualquer usuário, incluindo administradores, utilizando um token OAuth válido de sua própria conta e o endereço de e-mail de um usuário-alvo. Relata-se que esse problema está sendo explorado ativamente no ambiente real. Aproximadamente 50.000 instalações de LMS WordPress podem ser afetadas. O ataque envolve o uso de um token OAuth válido juntamente com o endereço de e-mail da vítima para obter acesso não autorizado.

Recomendações Atualize para a versão 3.9.6 ou posterior.