CVE-2026-33714 in LMSالمعلومات

الملخص

بحسب VulDB • 09/05/2026

Chamilo هو نظام إدارة تعلم مفتوح المصدر (LMS). تحتوي الإصدار 2.0.0-RC.2 على ثغرة حقن SQL في نقطة نهاية AJAX الخاصة بالإحصائيات، وهي إصلاح غير مكتمل لـ CVE-2026-30881. بينما تم تصحيح CVE-2026-30881 عن طريق تطبيق Security::remove_XSS() على المعاملات date_start و date_end في إجراء get_user_registration_by_month، تظل نفس المعاملات غير مُنظَّفة في إجراء users_active داخل نفس الملف (public/main/inc/ajax/statistics.ajax.php)، حيث يتم إدراجها مباشرة في استعلام SQL. يمكن لمدير مُصادَق عليه استغلال هذا الأمر لإجراء حقن SQL أعمى قائم على الوقت، مما يتيح استخراج بيانات عشوائية من قاعدة البيانات. تم إصلاح هذه المشكلة في الإصدار 2.0.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

15/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357583

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

6.3 (VulDB)

EPSS

0.00044

KEV

لا

النشاطات

منخفض جدًا

القطاع

Agriculture, Hostingprovider, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33714
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33714
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33714/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!