El plugin Tutor LMS – solución de eLearning y cursos en línea para WordPress es vulnerable a un acceso no autorizado a contenido de preguntas y respuestas restringidas debido a la falta de verificación de capacidades al interactuar con preguntas en todas las versiones hasta, e incluyendo, la 2.6.0. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, interactuar con preguntas en cursos en los que no están inscritos, incluidos los cursos privados.
La falta de una comprobación de capacidad adecuada en el plugin Tutor LMS permite a los atacantes con roles de suscriptor o superiores acceder a preguntas en cursos para los que no están inscritos, lo que podría comprometer la seguridad y privacidad de los usuarios. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin Tutor LMS a la versión más reciente disponible, la cual incluye un parche para corregir esta vulnerabilidad. Además, se aconseja revisar regularmente los permisos de usuario dentro de los cursos y restringir el acceso a información sensible.
La falta de autorización en Tutor LMS <= 2.6.0 puede representar un riesgo de seguridad significativo para los usuarios y sus datos. Es fundamental mantener el plugin actualizado y revisar constantemente los permisos de usuario para garantizar la protección de la información en línea.