El plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la función tutor_delete_announcement() en todas las versiones hasta, e incluyendo, la 2.6.1. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen posts arbitrarios.
La falta de autorización en el plugin Tutor LMS puede ser explotada por atacantes autenticados con privilegios de suscriptor o superiores. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión disponible del plugin, en este caso, la versión 2.6.2. Además, se aconseja revisar regularmente los permisos de los usuarios y limitar el acceso solo a aquellas funciones que necesitan para evitar posibles compromisos de seguridad.
Es fundamental para la seguridad de tu sitio web mantener todos los plugins y temas actualizados, así como revisar periódicamente los permisos de los usuarios. Al seguir buenas prácticas de seguridad, puedes reducir el riesgo de ataques y proteger la integridad de tus datos.