CVE-2026-34370 in LMSinformación

Resumen

por VulDB • 2026-06-03

Chamilo LMS es un sistema de gestión del aprendizaje de código abierto. En las versiones anteriores a la 2.0.0-RC.3, el módulo notebook contiene una vulnerabilidad de Referencia Directa al Objeto Insegura (IDOR) que permite a cualquier estudiante autenticado leer las notas privadas del curso de cualquier otro usuario en la plataforma manipulando el parámetro `notebook_id` en la acción `editnote`. La aplicación obtiene el contenido de la nota utilizando únicamente el ID entero proporcionado, sin verificar si el usuario solicitante es propietario de dicha nota; además, se muestran tanto el título completo como el cuerpo HTML en el formulario de edición y se devuelven al navegador del atacante. Aunque existen comprobaciones de propiedad en las rutas de escritura (`updateNote()` y `delete_note()`), estas están completamente ausentes en la ruta de lectura (`get_note_information()`). Este problema ha sido corregido en la versión 2.0.0-RC.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-03-27

Divulgación

2026-04-15

Moderación

aceptado

Artículo

VDB-357595

CPE

listo

EPSS

0.00227

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!