CVE-2026-34370 in LMS
الملخص
بحسب VulDB • 05/06/2026
Chamilo LMS هو نظام إدارة تعلم مفتوح المصدر. في الإصدارات السابقة لـ 2.0.0-RC.3، يحتوي وحدة الدفتر (notebook module) على ثغرة مرجع كائن غير آمن (IDOR)، تتيح لأي طالب مُصادَق عليه قراءة الملاحظات الخاصة للدورات التدريبية للمستخدمين الآخرين على المنصة من خلال التلاعب بمعامل notebook_id في إجراء editnote. يجلب التطبيق محتوى الملاحظة باستخدام معرف صحيح فقط دون التحقق مما إذا كان المستخدم الذي يطلب الوصول هو مالك الملاحظة، ويتم عرض العنوان الكامل وجسم HTML في نموذج التعديل وإعادتها إلى متصفح المهاجم. بينما توجد فحوصات الملكية في مسارات الكتابة (updateNote() و delete_note())، إلا أنها غائبة تماماً عن مسار القراءة (get_note_information()). تم إصلاح هذه المشكلة في الإصدار 2.0.0-RC.3.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.