La vulnerabilidad CVE-2024-5438 en el plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress permite a atacantes autenticados, con acceso de nivel Instructor y superior, eliminar intentos de exámenes de manera arbitraria.
La vulnerabilidad de Insecure Direct Object Reference en Tutor LMS hasta la versión 2.7.1 a través de la función ‘attempt_delete’ se debe a la falta de validación en una clave controlada por el usuario. Esto significa que los atacantes autenticados podrían eliminar intentos de exámenes de manera arbitraria si tienen acceso a nivel Instructor o superior. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible, establecer políticas de acceso y roles de usuario adecuados, y restringir el nivel de acceso de los instructores a funciones específicas que sean necesarias para su trabajo.
Es fundamental mantener actualizados los plugins de WordPress y seguir buenas prácticas de seguridad para proteger el sitio web de posibles ataques. La vulnerabilidad CVE-2024-5438 destaca la importancia de implementar controles adecuados de acceso y validar cualquier entrada de usuario para prevenir posibles vulnerabilidades de seguridad.