El plugin Tutor LMS Pro para WordPress es vulnerable a la ejecución de acciones administrativas no autorizadas debido a la falta de verificación de capacidades en múltiples funciones como treport_quiz_atttempt_delete y tutor_gc_class_action en todas las versiones hasta, e incluyendo, la 2.7.2. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, realicen acciones administrativas en el sitio, como eliminación de comentarios, publicaciones o usuarios, visualización de notificaciones, etc.
Para subsanar este problema en Tutor LMS Pro <= 2.7.2, se recomienda a los usuarios actualizar el plugin a la última versión disponible que incluya la corrección de la falta de autorización. Además, se aconseja a los administradores del sitio limitar el acceso de los roles de usuario a funciones sensibles y realizar revisiones periódicas de los permisos asignados.
Es crucial para la seguridad de su sitio web WordPress estar al tanto de las vulnerabilidades en los plugins que utiliza y tomar medidas proactivas para proteger sus datos y recursos. Trabajando en conjunto con los desarrolladores de plugins y siguiendo buenas prácticas de seguridad, se puede reducir el riesgo de compromiso de la plataforma.