The Tutor LMS – eLearning and online course solution plugin for WordPress is vulnerable to an Insecure Direct Object Reference in all versions up to, and including, 3.9.7. This is due to missing authentication and authorization checks in the `pay_incomplete_order()` function. The function accepts an attacker-controlled `order_id` parameter and uses it to look up order data, then writes billing fields to the order owner's profile (`$order_data->user_id`) without verifying the requester's identity or ownership. Because the Tutor nonce (`_tutor_nonce`) is exposed on public frontend pages, this makes it possible for unauthenticated attackers to overwrite the billing profile (name, email, phone, address) of any user who has an incomplete manual order, by sending a crafted POST request with a guessed or enumerated `order_id`.
Tutor LMS plugin versions up to 3.9.7 contain an Insecure Direct Object Reference vulnerability in the pay_incomplete_order() function that allows unauthenticated attackers to modify user billing profiles. Attackers can exploit exposed nonces and missing authorization checks to overwrite billing information of users with incomplete orders.
ثغرة Insecure Direct Object Reference في دالة pay_incomplete_order() بمكون Tutor LMS تسمح للمهاجمين غير المصرح لهم بتعديل بيانات الفواتير لأي مستخدم لديه طلب يدوي غير مكتمل. يستغل المهاجمون nonces المكشوفة على صفحات الويب العامة وعدم وجود فحوصات التفويض لتجاوز الحماية.
ثغرة Insecure Direct Object Reference في مكون Tutor LMS تصل إلى الإصدار 3.9.7 تسمح للمهاجمين غير المصرح لهم بتعديل ملفات تعريف المستخدمين. يمكن للمهاجمين استغلال nonces المكشوفة والتحقق المفقود من الصلاحيات لتجاوز حماية النظام.
Immediately update Tutor LMS plugin to version 3.9.8 or later. Implement proper authentication and authorization checks before processing order modifications. Validate user ownership of orders and implement nonce verification on all sensitive operations. Restrict access to billing profile modifications to authenticated users only.
قم بتحديث مكون Tutor LMS فوراً إلى الإصدار 3.9.8 أو أحدث. طبق فحوصات المصادقة والتفويض الصحيحة قبل معالجة تعديلات الطلبات. تحقق من ملكية المستخدم للطلبات وطبق التحقق من nonce على جميع العمليات الحساسة. قيد الوصول إلى تعديلات ملف التعريف للمستخدمين المصرح لهم فقط.