CVE-2026-34370 in LMSinformation

Résumé

par VulDB • 03/06/2026

Chamilo LMS est un système de gestion de l'apprentissage open source. Dans les versions antérieures à la 2.0.0-RC.3, le module notebook contient une vulnérabilité Insecure Direct Object Reference (IDOR) qui permet à tout étudiant authentifié de lire les notes privées des cours d'autres utilisateurs sur la plateforme en manipulant le paramètre `notebook_id` dans l'action `editnote`. L'application récupère le contenu de la note en utilisant uniquement l'identifiant entier fourni, sans vérifier que l'utilisateur demandeur est bien propriétaire de cette note ; le titre complet et le corps HTML sont ensuite affichés dans le formulaire d'édition et renvoyés au navigateur de l'attaquant. Bien que des vérifications de propriété existent sur les chemins en écriture (`updateNote()` et `delete_note()`), elles font entièrement défaut sur le chemin en lecture (`get_note_information()`). Ce problème a été corrigé dans la version 2.0.0-RC.3.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Réserver

27/03/2026

Divulgation

15/04/2026

Modérer

accepté

Entrée

VDB-357595

CPE

prêt

EPSS

0.00227

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!