CVE-2026-5502

Name of the Vulnerable Software and Affected Versions Tutor LMS versões anteriores a 3.9.9

Description O plugin Tutor LMS para WordPress permite a manipulação não autorizada de conteúdo de cursos. Isso ocorre porque a função tutor update course content order() não verifica se o usuário possui as permissões necessárias para gerenciar o conteúdo do curso, validando apenas o nonce para proteção contra CSRF. A verificação de autorização can user manage() só é acionada se o parâmetro content parent estiver incluído na requisição. Se o parâmetro content parent for omitido, o sistema chama a função save course content order(), que modifica a tabela wp posts sem autorização. Consequentemente, atacantes autenticados com nível de acesso de assinante ou superior podem desvincular lições de tópicos, mover lições entre tópicos e alterar o menu order do conteúdo do curso, interrompendo a estrutura do curso.

Recommendations Atualize o plugin para uma versão posterior a 3.9.8. Como medida paliativa temporária, restrinja o acesso à função tutor update course content order() para usuários com privilégios de baixo nível.