CVE-2026-6965

Nome do Software Vulnerável e Versões Afetadas Tutor LMS versões anteriores a 4.0.0

Descrição O plugin Tutor LMS – eLearning and online course solution para WordPress contém uma Referência Direta a Objeto Insegura (IDOR). Isso ocorre porque a função get course id by() confia incondicionalmente no parâmetro GET course fornecido pelo usuário como o ID de curso autoritativo para verificações de propriedade de conteúdo. Esse valor é então consumido por can user manage(), o principal portão de autorização para operações de nível de instrutor, fazendo com que o sistema avalie a associação do instrutor em relação a um curso controlado pelo invasor, em vez do curso que realmente possui o objeto de conteúdo alvo. Consequentemente, invasores autenticados com acesso de nível de instrutor ou superior podem realizar operações não autorizadas no conteúdo do curso de outros instrutores. Essas ações incluem a exclusão permanente de lições, tarefas, questionários (incluindo todos os dados de tentativas de alunos), tópicos, anúncios e tópicos de Perguntas e Respostas, bem como a criação ou modificação de lições, tópicos e anúncios, a manipulação de notas de questionários de alunos e a leitura de conteúdos de lições e questionários não publicados.

Recomendações Atualize para uma versão posterior à 3.9.9. Como medida paliativa temporária, restrinja o acesso ao parâmetro GET course para minimizar o risco de exploração.