Katalog CVE

CVE-2026-0953

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Tutor LMS Pro dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 3.9.5 włącznie, za pośrednictwem dodatku Social Login. Problem wynika z braku weryfikacji, czy adres e-mail podany w żądaniu uwierzytelnienia odpowiada adresowi e-mail z zweryfikowanego tokena OAuth.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik, w tym administratorzy, wykorzystując ważny token OAuth z własnego konta oraz adres e-mail ofiary. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki Tutor LMS Pro do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt kont użytkowników w celu wykrycia potencjalnych nieautoryzowanych logowań.

Oryginalny opis (angielski, źródło NVD)

The Tutor LMS Pro plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 3.9.5 via the Social Login addon. This is due to the plugin failing to verify that the email provided in the authentication request matches the email from the validated OAuth token. This makes it possible for unauthenticated attackers to log in as any existing user, including administrators, by supplying a valid OAuth token from their own account along with the victim's email address.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS