CVE-2026-3360

Name of the Vulnerable Software and Affected Versions Tutor LMS versões até 3.9.7

Description O plugin Tutor LMS para WordPress é suscetível a uma vulnerabilidade de Referência Direta a Objetos Não Segura. Isso se deve à ausência de verificações adequadas de autenticação e autorização dentro da função pay incomplete order(). A função utiliza um parâmetro order id controlado por um invasor para recuperar dados do pedido e, subsequentemente, atualizar os campos de faturamento associados ao proprietário do pedido ($order data->user id) sem verificar a identidade ou propriedade do solicitante. A exposição do nonce Tutor ( tutor nonce) em páginas públicas do frontend permite que invasores não autenticados modifiquem o perfil de faturamento (nome, e-mail, telefone, endereço) de qualquer usuário com um pedido manual incompleto, enviando uma solicitação POST criada com um order id adivinhado ou enumerado.

Recommendations Atualize o Tutor LMS para uma versão posterior à 3.9.7.