CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-0953

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Tutor LMS Pro dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 3.9.5 włącznie, za pośrednictwem dodatku Social Login. Problem wynika z braku weryfikacji, czy adres e-mail podany w żądaniu uwierzytelnienia odpowiada adresowi e-mail z zweryfikowanego tokena OAuth.

Risk Assessment

Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik, w tym administratorzy, wykorzystując ważny token OAuth z własnego konta oraz adres e-mail ofiary. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki Tutor LMS Pro do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt kont użytkowników w celu wykrycia potencjalnych nieautoryzowanych logowań.

Original NVD description (English source)

The Tutor LMS Pro plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 3.9.5 via the Social Login addon. This is due to the plugin failing to verify that the email provided in the authentication request matches the email from the validated OAuth token. This makes it possible for unauthenticated attackers to log in as any existing user, including administrators, by supplying a valid OAuth token from their own account along with the victim's email address.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS