Sicherheitslücke in WordPress-Plugin „Tutor LMS Pro“ ermöglicht unbefugten Kontozugriff

Rund 30.000 WordPress-Installationen waren durch eine Authentifizierungsumgehung im kostenpflichtigen Plugin „Tutor LMS Pro“ angreifbar. Angreifer konnten sich ohne eigene Zugangsdaten in beliebige Benutzerkonten einloggen – einschließlich Administrator-Accounts. Ein Patch steht seit Ende Januar 2026 bereit.

Schwachstelle ermöglicht Zugriff auf beliebige Konten

Sicherheitsforscher von Wordfence haben Ende Dezember 2025 eine Schwachstelle im Social-Login-Add-on des Plugins identifiziert. Das Problem betrifft alle Versionen bis einschließlich 3.9.5 und wurde der Common Vulnerabilities and Exposures-Datenbank gemeldet.

Der Fehler liegt in der Funktion authenticate() der Klasse TutorPro\SocialLogin\Authentication. Konkret überprüft das Plugin beim Social-Login-Prozess nicht, ob die in der Authentifizierungsanfrage angegebene E-Mail-Adresse mit jener aus dem validierten OAuth-Token übereinstimmt.

Das ermöglicht folgendes Angriffsszenario:

• Angreifer meldet sich mit einem eigenen Social-Media-Konto an und erhält ein gültiges OAuth-Token
• Dieses Token wird kombiniert mit der E-Mail-Adresse eines Opfers in die Authentifizierungsanfrage eingesetzt
• Das Plugin akzeptiert die Anfrage und gewährt Zugriff auf das fremde Konto
• Kennt der Angreifer eine Admin-E-Mail-Adresse, kann er vollständige Kontrolle über die WordPress-Instanz erlangen

Das Plugin bezieht die E-Mail-Adresse aus der Benutzereingabe statt aus der Antwort des OAuth-Anbieters – ein grundlegender Implementierungsfehler.

Zeitlicher Ablauf der Offenlegung

• 30. Dezember 2025 – Meldung der Schwachstelle über das Wordfence Bug Bounty Program
• 14. Januar 2026 – Bestätigung des Proof-of-Concept-Exploits durch Wordfence
• 14. Januar 2026 – Vollständige Offenlegung gegenüber dem Hersteller Themeum
• 15. Januar 2026 – Firewall-Regel für Wordfence Premium-, Care- und Response-Nutzer
• 16. Januar 2026 – Hersteller bestätigt die Meldung und beginnt mit der Fehlerkorrektur
• 30. Januar 2026 – Veröffentlichung der bereinigten Version 3.9.6
• 14. Februar 2026 – Firewall-Regel auch für Wordfence-Free-Nutzer verfügbar

Patch und Handlungsempfehlung

Themeum hat das Problem durch eine zusätzliche E-Mail-Prüfung innerhalb der authenticate()-Funktion behoben: Die angegebene E-Mail-Adresse wird nun mit dem Inhalt des validierten OAuth-Tokens abgeglichen, bevor der Zugriff gewährt wird.

Website-Betreiber, die Tutor LMS Pro einsetzen, sollten:

• Das Plugin umgehend auf Version 3.9.6 oder höher aktualisieren
• Prüfen, ob ungewöhnliche Anmeldeaktivitäten in den Zugriffsprotokollen verzeichnet sind
• Sicherstellen, dass Administrator-E-Mail-Adressen nicht öffentlich einsehbar sind

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk