Tutor LMS <= 3.9.7 IDOR越权漏洞CVE-2026-3360

Tutor LMS 是 Themeum 公司开发的一款功能最全面、最流行的 WordPress 在线学习插件，专为个人讲师、培训机构、企业大学打造，

一、基本情况

Tutor LMS 是一款用于 WordPress 的在线课程和教育管理解决方案插件，可快速搭建专业的在线课程网站、知识付费平台与教育市场。

Tutor LMS 插件的核心定位是一站式 WordPress LMS 解决方案，它将集课程创建、学员管理、内容交付、付费变现、数据分析于一体。

Tutor LMS 是 WordPress 生态中功能最均衡、性价比最高的 LMS 插件，该插件的专业版是搭建 WordPress 在线教育网站的首选方案。

栋科技漏洞库关注到 Tutor LMS 在 3.9.7 之前版本中存在的 IDOR 越权漏洞，该漏洞现被追踪为CVE-2026-3360，CVSS 3.X评分7.5。

二、漏洞分析

CVE-2026-3360是WordPress 插件 Tutor LMS（在线教学与课程解决方案）在截至 3.9.7（含）所有版本中的不安全直接对象引用漏洞。

该漏洞源于Tutor LMS插件 pay_incomplete_order() 函数由于缺少必要的身份验证和授权检查所致不安全直接对象引用（IDOR）漏洞。

该漏洞源于 pay_incomplete_order() 函数缺失身份验证与权限校验，该函数用于接收攻击者可控的order_id参数查询订单数据，

该函数还将账单字段写入订单所有者（$order_data->user_id）的个人资料，却不校验请求者身份或订单归属权。

由于 Tutor 随机令牌（_tutor_nonce）在前端公共页面暴露，未认证攻击者可通过构造 POST 请求，

使用猜测或枚举得到的order_id，覆盖任意存在未完成人工订单用户的账单资料（姓名、邮箱、电话、地址）。

攻击者可以通过在公开的前端页面获取 `_tutor_nonce`，并发送构造的 POST 请求，利用可预测或枚举的 `order_id` 参数。

由于系统会直接将表单中的账单字段写入对应订单所有者的个人资料中，

未经身份验证的远程攻击者可以借此修改任何拥有未完成手动订单的用户的敏感资料，包括姓名、电子邮件、电话和地址。

三、影响范围

Tutor LMS <= 3.9.7

四、修复建议

Tutor LMS > 3.9.7

五、参考链接

管理员已设置登录后刷新可查看